estudo exploratório sobre o impacto acerca da interrupção
TRANSCRIPT
Universidade de BrasíliaInstituto de Ciências Exatas
Departamento de Ciência da Computação
Estudo Exploratório sobre o Impacto acerca daInterrupção e Indisponibilidade dos Serviços de TI
oferecidos pelo CPD sobre as Atividades de Pesquisa eAdministrativas da UnB
Lucas Fernandes Braga Moura
Monografia apresentada como requisito parcialpara conclusão do Curso de Computação — Licenciatura
OrientadorProf. Dr. Genaína Nunes Rodrigues
Brasília2016
Universidade de Brasília — UnBInstituto de Ciências ExatasDepartamento de Ciência da ComputaçãoCurso de Computação — Licenciatura
Coordenador: Prof. Dr. Pedro Antônio Dourado Rezende
Banca examinadora composta por:
Prof. Dr. Genaína Nunes Rodrigues (Orientador) — CIC/UnBProf. Dr. Jorge Henrique Cabral Fernandes — CIC/UnBProf. Dr. André Costa Drummond — CIC/UnB
CIP — Catalogação Internacional na Publicação
Moura, Lucas Fernandes Braga.
Estudo Exploratório sobre o Impacto acerca da Interrupção e Indisponi-bilidade dos Serviços de TI oferecidos pelo CPD sobre as Atividades dePesquisa e Administrativas da UnB / Lucas Fernandes Braga Moura.Brasília : UnB, 2016.123 p. : il. ; 29,5 cm.
Monografia (Graduação) — Universidade de Brasília, Brasília, 2016.
1. análise de impacto do negócio, 2. interrupções, 3. continuidade
CDU 004.4
Endereço: Universidade de BrasíliaCampus Universitário Darcy Ribeiro — Asa NorteCEP 70910-900Brasília–DF — Brasil
Universidade de BrasíliaInstituto de Ciências Exatas
Departamento de Ciência da Computação
Estudo Exploratório sobre o Impacto acerca daInterrupção e Indisponibilidade dos Serviços de TI
oferecidos pelo CPD sobre as Atividades de Pesquisa eAdministrativas da UnB
Lucas Fernandes Braga Moura
Monografia apresentada como requisito parcialpara conclusão do Curso de Computação — Licenciatura
Prof. Dr. Genaína Nunes Rodrigues (Orientador)CIC/UnB
Prof. Dr. Jorge Henrique Cabral Fernandes Prof. Dr. André Costa DrummondCIC/UnB CIC/UnB
Prof. Dr. Pedro Antônio Dourado RezendeCoordenador do Curso de Computação — Licenciatura
Brasília, 11 de julho de 2016
Dedicatória
Dedico a realização deste trabalho e finalização dessa graduação a Deus, aos meuspais, que nunca mediram esforços para me auxiliar e me acompanhar durante toda minhatrajetória acadêmica e à minha namorada, Marina Ramirez, que sempre me estimulou eesteve ao meu lado nos momentos mais difíceis.
i
Agradecimentos
Agradeço primeiramente a Deus pela sabedoria, força e paciência que me foram con-cedidas duarnte a elaboração desse trabalho; a minha família por todo o suporte que mefoi dado durante toda minha vida e que foi essencial para que eu alcançasse todos meusobjetivos e sonhos e minha namorada, Marina Ramirez, que, durante todo esse período,esteve ao meu lado me apoiando e me dando forças para superar os obstáculos.
Ademais, não poderia esquecer de agradecer aos colaboradores do CPD que tantome ajudaram nesse trabalho, em especial analista Luiz Gribel, o analista Reinaldo e osupervisor Domingos. Sem estes últimos, certamente, o trabalho não iria ser concretizado.
Por fim, agradeço a minha professora orientadora, professora Dra. Genaína, que, porsua vez, sempre buscou me auxiliar e ajudar, além de ter sempre acreditado no sucessodeste trabalho.
ii
Resumo
Sistemas computacionais atualmente lidam com ambientes complexos e cada vez maiscompetitivos, onde as informações e as tecnologias tornaram-se vitais para todos os seg-mentos de negócios, uma ruptura não planejada nas operações dos serviços de tecnologiada informação pode trazer impactos significativos e muitas vezes irreversíveis. No âm-bito da Universidade de Brasília, o Centro de Informática da UnB (CPD) é a unidaderesponsável pela infraestrutura computacional, pelo oferecimento de serviços de TI, assimcomo pela continuidade de negócios dos serviços e softwares que operam na Universi-dade de Brasília. Desse modo, esse estudo de caso tem como objetivo principal realizaruma análise de impacto, com base na Norma Complementar 06/IN01/DSIC/GSIPR e naSeção 14 da ABNT NBR ISO/IEC 27002, de possíveis interrupções dos serviços de TIoferecidos pelo CPD para as atividades de negócio críticas do Departamento de Ciênciada Compuração da UnB (CIC) e do Decanato de Gestão de Pessoas (DGP). Por meiodessa análise, poderão ser direcionados esforços para implementação de um programa deGestão de Continuidade de negócios, assegurando a disponibilidade das informações e ofuncionamento adequado das atividades de pesquisa científica e administrativas das áreasescopo.
Palavras-chave: análise de impacto do negócio, interrupções, continuidade
iii
Abstract
Currently, computational systems deal with highly complex and competitive environ-ments, where information and technologies have become fundamental for business seg-ments. As a result, an unplanned interruption on the activities of the information tech-nology services may bring significant impacts. In the context of the University of Brasilia,the Informatics Center (CPD) is the area responsible for the computing infraestructure,to provide the information technology services, and to assure the business and softwarecontinuity. Thereby, the main purpose of this case study is to realize a business impactanalysis (BIA), based on the Complementary Standard 06/IN01/DSIC/GSIPR and onSection 14 of ABNT NBR ISO/IEC 27002, on the critical activities performed by theComputer Science Department and the Deanery Staff Management w.r.t. interruptionson the IT services provided by the CPD at UnB. Through this analysis, it will be possibleto drive efforts to implement a Business Continuity Management program, which assuresthe availability of the information and the proper operation of the scientific research andadministrative activities.
Keywords: business impact analysis, interruptions, continuity
iv
Sumário
1 Introdução 11.1 Contexto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3.1 Objetivo Principal . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3.2 Objetivos Específicos . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.4 Organização do Documento . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 Referencial Teórico 42.1 Segurança da Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Gestão da Segurança da Informação . . . . . . . . . . . . . . . . . . . . . . 52.3 Camadas Segurança da Informação . . . . . . . . . . . . . . . . . . . . . . 6
2.3.1 Camada Física . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.3.2 Camada Lógica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.3.3 Camada Humana . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.4 Origem das normas ABNT NBR ISO/IEC 27001/ 27002/27005 . . . . . . 82.5 Gestão de Continuidade de Negócios . . . . . . . . . . . . . . . . . . . . . 9
2.5.1 Seção 14 da Norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . . 102.5.2 Norma Complementar 06/IN01/DSIC/GSIPR . . . . . . . . . . . . 10
3 Metodologia do estudo de caso 133.1 Descrição do Estudo de Caso . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.1.1 Amostra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.1.2 Etapas do Estudo de Caso . . . . . . . . . . . . . . . . . . . . . . . 15
3.2 Descrição do CPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.2.1 Setores do CPD estudados no trabalho . . . . . . . . . . . . . . . . 17
3.3 Principais serviços de TI oferecidos pelo CPD . . . . . . . . . . . . . . . . 183.3.1 Lista de Softwares Homologados pelo CPD . . . . . . . . . . . . . . 183.3.2 REDEUnB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.3.3 UnB Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.3.4 Hospedagem de Site Institucional . . . . . . . . . . . . . . . . . . . 213.3.5 SEI - Sistema Eletrônico de Informações . . . . . . . . . . . . . . . 21
3.4 Descrição do Departamento de Ciência da Computação da UnB - CIC . . . 223.4.1 Estudo sobre as principais atividades desenvolvidas no CIC . . . . . 24
3.5 Descrição do Decanato de Gestão de Pessoas - DGP . . . . . . . . . . . . . 243.5.1 Estudo sobre as principais atividades desenvolvidas no DGP . . . . 25
v
4 Resultados 264.1 Riscos que podem impactar os serviços oferecidos pelo CPD . . . . . . . . 26
4.1.1 Riscos que podem impactar a REDEUnB . . . . . . . . . . . . . . . 264.1.2 Riscos que podem impactar o funcionamento do Firewall e, conse-
quementemente, os serviços do CPD . . . . . . . . . . . . . . . . . 274.1.3 Ocorrências que impactaram os serviços do CPD . . . . . . . . . . . 28
4.2 Cadeia de dependências entre serviços de TI do CPD e atividades de negócio 294.2.1 Depedências entre serviços de TI e atividades de negócio do CIC . . 294.2.2 Depedências entre serviços de TI e atividades de negócio do DGP . 31
4.3 Análise de Impacto a partir dos questionários enviados . . . . . . . . . . . 334.3.1 Análise de Impacto - CIC . . . . . . . . . . . . . . . . . . . . . . . 344.3.2 Análise de Impacto - DGP . . . . . . . . . . . . . . . . . . . . . . . 37
5 Conclusões 415.1 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Referências 43
A Lista de Softwares Homologados pelo CPD 46
B Questionários 49B.1 Pré-questionário para entendimento incial para delimitar as atividades crí-
ticas do CIC e do DGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49B.2 Questionários para avaliação do impacto em caso de interrupções nos ser-
viços de TI oferecidos pelo CPD para as atividades críticas do CIC e DGP 50B.2.1 Questionário - Análise de impacto em caso de interrupção dos ser-
viços de TI para as atividades críticas do CIC . . . . . . . . . . . . 50B.2.2 Questionário - Análise de impacto em caso de interrupção dos ser-
viços de TI para as atividades críticas do DGP . . . . . . . . . . . . 52
vi
Lista de Figuras
2.1 Camadas Segurança da Informação. [9] . . . . . . . . . . . . . . . . . . . 72.2 Normas e suas equivalências . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.1 Metodologia segundo Wholin, Claes, et al. . . . . . . . . . . . . . . . . . . 143.2 Roteamento OSPF rede UnB. Fonte: http://www.srs.unb.br/redes/redespag3.htm 193.3 Alcançe da RedeUnB. Fonte: CPD, Rede UnB, Figura 1, http://www.cpd.unb.br/redes-
e-conectividade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.1 Acessos simultâneos aos seriços de Rede oferecidos pelo CPD. Fonte: ima-gem obtida junto aos colaboradores da área de Rede do CPD. . . . . . . . 27
4.2 Acessos simultâneos aos seriços de Rede oferecidos pelo CPD em um pe-ríodo de 24 horas. Fonte: imagem obtida junto aos colaboradores da áreade Rede do CPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.3 Gráfico das ocorrências no CPD. . . . . . . . . . . . . . . . . . . . . . . . . 284.4 Relação de dependências entre as atividades de pesquisa científica e os
serviços de TI do CPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304.5 Relação de dependências entre as atividades de pesquisa científica e os
serviços de TI do CPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334.6 Percentual de respostas ao questionário enviado para os professores do CIC. 344.7 Gráfico - Análise de Impacto em Caso de Interrupção do Serviço de E-mail.
Fonte: Figura elaborada pelo autor do trabalho. . . . . . . . . . . . . . . . 354.8 Gráfico - Análise de Impacto em Caso de Interrupção do Serviço de Inter-
net. Fonte: Figura elaborada pelo autor do trabalho. . . . . . . . . . . . . 364.9 Percentual de respostas obtidas em relação aos questionários enviados aos
colaboradores da DPAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374.10 Percentual de respostas obtidas em relação aos questionários enviados aos
colaboradores da DAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.11 Gráfico - Análise de Impacto em Caso de Interrupção do Sistema SEI.
Fonte: Figura elaborada pelo autor do trabalho. . . . . . . . . . . . . . . . 384.12 Gráfico - Análise de Impacto em Caso de Interrupção do Sistema SIPES.
Fonte: Figura elaborada pelo autor do trabalho. . . . . . . . . . . . . . . . 39
vii
Lista de Tabelas
4.1 Impacto estimado dos serviços de TI no CIC . . . . . . . . . . . . . . . . . 294.2 Impacto estimado dos serviços de TI no DGP . . . . . . . . . . . . . . . . 324.3 Atividades de negócio x Serviços de TI . . . . . . . . . . . . . . . . . . . . 33
viii
Capítulo 1
Introdução
1.1 ContextoÉ notório que, independente do segmento de atuação ou porte, todas as organizações
estão sujeitas a riscos. Dessa forma, mesmo que a organização tenha uma gestão deriscos de segurança da informação, preparada e estruturada, haverão situações em queo inesperado pode ocorrer e medidas repressivas, corretivas e até mitigatórias podemser insuficientes para impedir que hajam perdas significativas. Para esses eventos nãoprevistos, é importante que a entidade adote procedimentos de gestão da continuidade donegócio.
Adicionalmente, em se tratando de um mundo globalizado, com ambientes complexose cada vez mais competitivos, onde as informações e as tecnologias tornaram-se vitais paratodos os segmentos de negócios, uma ruptura não planejada nas operações dos serviços detecnologia da informação pode trazer impactos significativos e muitas vezes irreversíveis.Uma organização pode sofrer prejuízos financeiros e fiscais, perda da produção, exposiçãode imagem na mídia e perda de credibilidade junto a seus clientes e partes interessadas.
No âmbito da Universidade de Brasília, o Centro de Informática da UnB (CPD) éa unidade responsável pela infraestrutura computacional, pelo oferecimento de serviçosde TI, assim como pela continuidade de negócios dos serviços e softwares que operamna Universidade de Brasília. Dessa forma, a grande maioria das atividades de negóciodesenvolvidas na Universidade de Brasília, mais especificamente as atividades de Pesquisae Administrativas, são dependentes de serviços de TI oferecidos pelo CPD.
A implementação de um processo de Gestão de Continuidade de Negócios tem comoprincipal objetivo minimizar impactos e perdas decorrentes de falhas, possíveis desastresou eventuais indisponibilidades sobre as atividades da organização. Ou seja, tornou-seessencial desenvolver um programa sólido de Gestão de Continuidade de Negócios e de-terminar o possível impacto de falhas e eventuais indisponibilidades sobre as atividadesda organização, com objetivo de identificar e gerir riscos exponenciais. Em consequên-cia, garante-se que as organizações, independentemente do segmento de negócio, possammanter a normalidade de suas atividades.
Como escopo deste trabalho foram escolhidos, além do CPD que é responsável poroferecer os serviços de TI, o CIC, Departamento de Ciência da Computação da UnB, e oDGP, Decanato de Gestão de Pessoas. A escolha do departamento e decanato supracitadosse deu pelos seguintes motivos:
1
• CIC: Este foi escolhido, primeiramente, por ser o departamento responsável peloscursos de bacharelado, engenharia e licenciatura em Computação. Adicionalmente,nota-se que o CIC está diretamente relacionado e dependente dos serviços de TIoferecidos pelo CPD, tanto para o adequado funcionamento de suas atividades ad-ministrativas quanto para os estudos e pesquisas desenvolvidos em seus diversoslaboratórios por seus professores e alunos, bem como para publicação de artigos ecomunicação no meio acadêmico.
• DGP: O Decanato de Gestão de Pessoas foi escolhido por ter uma relevância notóriano funcionamento de toda a Universidade de Brasília. Essa importância decorre dofato do DGP ter como atribuições a elaboração de Políticas de Gestão de Pessoas,o desenvolvimento de atividades relativas à capacitação, à gestão de desempenhodos colaboradores, elaboração e manutenção da folha de pagamento, entre outras.Ademais, nota-se que o Decanato, a partir do entendimento inicial realizado juntoao CPD, também faz uso de diversos serviços de TI oferecidos por este para o efetivofuncionamento e desempenho de suas atividades administrativas, na grande maioriacríticas até para outras atividades da universidade.
1.2 ProblemaConforme informado no contexto desse trabalho, o CPD é a unidade responsável pela
infraestrutura computacional assim como pela continuidade dos serviços de TI que operamna Universidade de Brasília. Ademais, é evidente que estes serviços estejam espostos ariscos e que, fatalmente, falhas e interrupções podem ocorrer.
Dessa forma, tendo em vista que a grande maioria das atividades de negócio desen-volvidas na Universidade de Brasília, mais especificamente as atividades de Pesquisa eAdministrativas, são dependentes de serviços de TI oferecidos pelo CPD, é fundamentalque sejam analisados os impactos das possíveis interrupções nesses serviços de TI.
Adiconalmente, é fundamental que sejam realizados alguns questionamentos acerca daestrutura de TI da UnB e do CPD:
• Quão preparada a Universidade de Brasília está em relação ao aspecto de gestão dacontinuidade de negócios?
• Qual impacto para as atividades de negócio da UnB caso ocorra alguma interrupçãoinesperada com os serviços oferecidos pelo CPD?
1.3 Objetivos
1.3.1 Objetivo Principal
Conforme explicitado na seção anterior, tendo em vista que as atividades de negóciodesenvolvidas na UnB são dependentes dos serviços de TI oferecidos pelo CPD, é fun-damental que sejam analisados os impactos das possíveis interrupções nesses serviços deTI.
Dessa forma, esse estudo de caso tem como objetivo principal realizar uma análisede impacto, com base na NC06 [14], na Seção 14 da ABNT NBR ISO/IEC 27002 [11]
2
de possíveis interrupções dos serviços de TI oferecidos pelo CPD para as atividades denegócio críticas do Departamento de Ciência da Compuração da UnB (CIC) e do Decanatode Gestão de Pessoas (DGP).
1.3.2 Objetivos Específicos
Conforme informado anteriormente, a norma NC06 [14] e a seção 14 da norma ABNTNBR ISO/IEC 27002 [11], fornecem orientações para se realizar uma adequada análisede impacto em caso de interrupções dos serviços de TI. Primeiramente, estas orietam queEstas orientam que análise de impacto seja realizado em conjunto com os responsáveis.Posteriormente, orietam que devem ser identificadas as atividades de negócio críticas, adependência dos serviços de TI com estas atividades críticas e os riscos que os serviços deTI estão expostos.
Dito isso, os objetivos específicos desse estudo de caso foram delimitados da seguinteforma:
• Identificação das atividades críticas do DGP e CIC
• Identificação dos riscos que os serviços de TI oferecidos pelo CPD estão expostos;
• Estabelecer uma cadeia de dependências, no formato de grafo, entre os serviços deTI do CPD e as atividades de negócio consideradas críticas.
• Realizar uma estimativa de impacto das eventuais indisponibilidades dos serviçosde TI para as atividades de negócio.
1.4 Organização do DocumentoO documento é iniciado com um capítulo dedicado a introdução explicitando o contexto
pelo qual o trabalho está envolvido, problema evidenciado que auxiliou na motivação paradesenvolvimento do trabalho, objetivo geral e objetivos específicos. Logo em seguida, nosegundo capítulo, foi explicitado o referencial teórico, contendo as normas base do trabalhoe melhores práticas de segurança da informação.
Posteriormente, foi elaborado um terceiro capítulo delimitando a metodologia utilizadapara o desenvolvimento e obtenção dos resultados do trabalho. Resultados que, por suavez, foram detalhados no quarto capítulo e demonstram, também, os objetivos alcançados.
Após a realização da análise dos resultados, foi elaborada uma conclusão, encontradano quinto capítulo, contendo considerações finais do autor acerca do trabalho realizado. E,por fim, encontra-se o apêndice desse documento. Neste, podem ser vistos os questionáriosutilizados para entendimento das atividades críticas, bem como os questionários utilizadospara mensurar o impacto das interrupções dos serviços de TI sobre as atividades denegócio.
3
Capítulo 2
Referencial Teórico
2.1 Segurança da InformaçãoNota-se que, atualmente, a informação é um instrumento estratégico para as empresas
e instituições, bem como é um recurso de vital importância nas organizações. Dessaforma, pode-se dizer que a segurança da informação aplicada adequadamente em umaempresa garante, em grande parte dos casos, a continuidade do negócios desta. Ademais,possibilita o aumento da estabilidade e permite que os ativos de tecnologia da informaçãoestejam seguros de possíveis ameaças.
Os principios de Segurança da Informação são os conceitos que norteiam todas as açõesnesta área. Diversos autores, dentre eles Laureano [30], descrevem os princípios básicospara garantir a segurança das informações:
• Confidencialidade: a informação somente pode ser acessada por pessoas devida-mente autorizadas; é a proteção de sistemas de informação para impedir que pessoasnão autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item égarantir a identificação e autenticação das partes envolvidas.
• Disponibilidade: a informação ou sistema de computador deve estar disponível aquem possa acessá-la no momento em que a mesma for necessária.
• Integridade: a informação deve ser retornada em sua forma original no momentoem que foi armazenada, garantindo a proteção dos dados ou informações contramodificações intencionais ou acidentais não-autorizadas.
Sêmola et al. [30] argumentam que a segurança da informação é uma área de co-nhecimento dedicada na proteção dos ativos de tecnologia da informação contra acessosnão autorizados, alterações indevidas ou indisponibilidade, aspectos que iriam ferir osprincípios básicos citados acima. Já Mandarini [24], diz que sua principal finalidade éproteger as informações contra possíveis ameaças, a fim de garantir a continuidade donegócio, minimizar as perdas e maximizar o retorno sobre os investimentos. Adicional-mente, segundo Silva et al. [18], muito já foi realizado a fim de que a segurança dainformação fosse aprimorada, apesar de não ser possível a completa erradicação dos riscosde sua utilização indevida. As autoras asseguram que a segurança da informação nãodeve permanecer limitada aos aspectos tecnológicos, devendo resguardar a informação emqualquer formato que se apresente. Afirmam ainda que a segurança abrange também toda
4
infraestrutura que permite sua utilização. Dessa forma, processos, sistemas, serviços, e aproteção devem ser proporcionais ao seu valor para organização e aos prejuízos que suaperda ou acesso indevido podem provocar.
Ademais, é evidente que grande parte das organizações possuem a informação comoum insumo fundamental para o desenvolvimento de suas atividades. Por consequência,torna-se clara a necessidade estratégica de proteger essas informações a fim de garantir acontinuidade e o adequado funcionamento dessas atividades.
A preocupação com segurança da informação na Administração Pública Federal vemsendo demonstrada através de diferentes instrumentos normativos. O Decreto no 3.505/2000institui a Política de Segurança da Informação nos órgãos e entidades da AdministraçãoPública Federal, dizendo que um dos pressupostos básicos para essa Política de Segu-rança da Informação é a conscientização dos órgãos e entidades da Administração PúblicaFederal sobre a importância das informações processadas e sobre o risco de suas vulnerabi-lidades [13]. O referido decreto também concede aos órgãos e entidades da AdministraçãoPública Federal instrumentos jurídicos, normativos e organizacionais que os capacitem ci-entífica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade,a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas,classificadas e sensíveis. Já o Decreto no 4.553/2002 trata da “salvaguarda de dados, in-formações, documentos e materiais sigilosos de interesse da segurança da sociedade e doEstado, no âmbito da Administração Pública Federal”.
Outra norma que abrange aspectos importantes de segurança da informação e es-tabelece diretrizes para Gestão de Continuidade de Negócios nos órgãos e entidades daAdministração Pública Federal é a Norma Complementar 06/IN01/DSIC/GSIPR de 2009.Esta será melhor explicitada no prosseguimento do trabalho por tratar de aspectos fun-damentais que embasam a justificativa e os objetivos deste trabalho.
A ABNT [11] define segurança da informação como sendo a “preservação da confiden-cialidade, da integridade e da disponibilidade da informação”. Nesse contexto, confiden-cialidade pode ser definida como a garantia de que as informações serão acessadas apenaspelas pessoas que tem autorização para acessá-las, integridade é a garantia de que asinformações são corretas e completas e disponibilidade é a garantia de que as informaçõesestarão disponíveis para serem acessadas pelas pessoas que tem autorização para vê-lasquando forem necessárias. Em outras palavras, segurança da informação é a garantiade que as informações da organização serão protegidas de três maneiras: serão acessadasapenas pelas pessoas que devem ter acesso a elas, estarão corretas e completas e esta-rão disponíveis sempre que seus usuários precisarem, conforme a norma NBR ISO/IEC27002:2005, ou “Código de prática para a gestão da segurança da informação” [11].
Dessa forma, ao considerar tudo que foi mencionado nesta seção, torna-se evidente anecessidade de se implementar uma adequada gestão de segurança da informação e mitigarpossíveis riscos para as atividades de negócio.
2.2 Gestão da Segurança da InformaçãoA gestão de segurança da informação é definida como o processo de gerenciar pessoas,
políticas e programas com o objetivo de assegurar a continuidade das atividades preser-vando o alinhamento estratégico com a missão organizacional (CAZEMIER; OVERBEEK;PETERS, 2000, apud HERATH; HERATH; BREMSER, 2010). A continuidade das ope-
5
rações de uma organização é obtida através da proteção das informações fundamentais aofuncionamento da organização e de todos os recursos e ativos envolvidos no seu proces-samento e armazenamento. Segundo Moura e Gaspary [27], a proteção da informação éconseguida através da aplicação de segurança física e lógica nas operações das empresas,e o que orienta essas práticas nas organizações são as Políticas de Segurança da Informa-ção, que, conforme Marciano [25], abrangem recursos computacionais, recursos humanos,infraestrutura e logística.
Para direcionar o gerenciamento da segurança da informação, é fundamental que sejaemitido ou aprovado um documento pela direção da organização apoiando as ações nessesentido. Conforme a ABNT [11], a Política de Segurança da Informação é o documentoque tem como objetivo mostrar a orientação e o apoio da direção da organização paraa segurança da informação conforme os requisitos do negócio e de acordo com as leis eregulamentações pertinentes. Ainda segundo a ABNT, as intenções e diretrizes globaisda direção da organização devem ser expressadas formalmente na Política de Segurançada Informação no sentido de fomentar a preservação da confidencialidade, da integridadee da disponibilidade da informação. Fernandes e Abreu (p.19) [20] definem Política deSegurança da Informação como a “determinação de diretrizes e ações referentes à segu-rança dos aplicativos, da infraestrutura, dos dados, pessoas e organizações (fornecedores eparceiros)”. Em outras palavras, a Política de Segurança da Informação é um documentoque deve explicitar os requisitos e orientações dos dirigentes de uma organização paradeterminadas ações e controles necessários para que a segurança da informação seja pro-movida de maneira adequada. A elaboração desse documento está em conformidade comos planos do Governo Federal, segundo Cepik et al. [16], que afirmam que a elaboraçãode uma Política de Segurança da Informação foi uma das metas previstas na EstratégiaGeral de Tecnologia da Informação (EGTI) para o ano de 2009 para todas as instituiçõesdo Poder Executivo Federal. Para esse fim, a norma NBR ISO/IEC 27002 é um dos mo-delos de maior destaque, segundo Lunardi et al. [22], Moraes e Mariano [26] e Lunardiet al. [23].
2.3 Camadas Segurança da InformaçãoConstantemente os negócios, seus processos e ativos físicos, tecnológicos e humanos são
alvos de possíveis ameaças de vários aspectos, que visam identificar vulnerabilidades com-patíveis, pontos de fraqueza capazes de potencializar sua ação. Quando essa possibilidadeaparece, a quebra de segurança é concretizada [30].
Segundo Schneier [29], "as ameaças do mundo digital espelham as ameaças no mundofísico. Se o desfalque é uma ameaça, então o desfalque digital também é uma ameaça.Se os bancos físicos são roubados, então os bancos digitais serão roubados". Ou seja,pode-se dizer que o crime no ciberespaço abrange tudo que se pode esperar do mundofísico: roubo, extorsão, vandalismo, exploração, fraude, etc.
Conforme Sêmola [30], a gestão da segurança da informação pode ser classificada sobtrês pontos: físicos, humanos e tecnológicos. Os aspectos tecnológicos representam, emgrande parte das vezes, a principal preocupação das organizações (redes, computadores,vírus, internet) e, por outro lado, os aspectos físicos e humanos, tão fundamentais paraa segurança e continuidade do negócio quanto os aspectos tecnológicos, acabam sendoesquecidos.
6
No prosseguimento deste trabalho, será explicitada a classificação colocada por Adachi(2004) [12] das três camadas supracitadas: física, lógica e humana. Abaixo, segue figuraque demonstra como estas se relacionam.
Figura 2.1: Camadas Segurança da Informação. [9]
2.3.1 Camada Física
A camada física pode ser definida como o ambiente em que se encontra armazenadofisicamente o hardware - computadores, servidores, meios de comunicação - podendo sera sede da empresa, o escritório,ou até mesmo a fábrica. Segundo Adachi [12], "a camadafísica representa o ambiente em que se encontram os computadores e seus periféricos, bemcomo a rede de telecomunicação com seus modems, cabos e a memória física, armazenadaem disquetes, fitas ou CDs".
Geralmente, empresas de pequeno e médio porte têm seus dados armazenados emservidores de rede ou estações compartilhadas. Além disso, nem sempre o acesso físicoà estes equipamentos é restrito. Em grande parte das vezes, esse servidor ou estaçãopossui acesso liberado e ilimitado à Internet, o que pode aumentar o risco de um possívelincidente de segurança.
Por fim, o controle de acesso aos recursos de TI, a climatização adequada do ambiente,equipamentos para fornecimento ininterrupto de energia e firewalls são algumas maneirasque de se gerenciar a segurança desta camada.
2.3.2 Camada Lógica
A camada lógica pode ser caracterizada através da utilização de softwares respon-sáveis pela funcionalidade do hardware, pela criptografia de senhas e mensagens, peloprocessamento de transações em bases de dados organizacionais, entre outros aspectos.Conforme Adachi [12], é nessa camada que se encontram as "regras, normas, protocolode comunicação, e onde, efetivamente, ocorrem as transações e consultas.
No nível lógico, a segurança se refere ao acesso que indivíduos têm às aplicaçõeslotadas em ambientes informatizados, sem levar em consideração o tipo da aplicação ou otamanho do computador. Em sua grande parte, as ferramentas de controle desse nível sãoimperceptíveis aos olhos de pessoas externas aos ambientes de tecnologia da informação;estas só reconhecem quando têm o seu acesso barrado pelo controle de acesso [15].
7
Para que os riscos de segurança nessa camada sejam minimizados, é recomendado quenão sejam instalados programas suspeitos no computador, que se mantenha atualizado osoftware do sistema operacional com as correções de segurança mais recentes, entre outrosprocedimentos adequados.
2.3.3 Camada Humana
A camada humana é constituída por todos os recursos humanos presentes em de-terminada organização, principalmente os que detém acesso ao ativos de tecnologia dainformação, seja para utilização ou manutenção. Adicionalmente, são aspectos relevantesda referida camada: a percepção do risco: a forma como elas reagem aos incidentes desegurança que ocorrem; são usuários instruídos ou ignorantes na utilização da TI; o perigodos intrusos maliciosos ou ingênuos; e a engenharia social [12].
É importante salientar que, das três camadas, esta camada é, notoriamente, a maisdifícil de se avaliar quanto aos riscos e o gerenciamento da segurança, pelo fato de abarcaro fator humano, com características psicológicas, sócio-culturais e emocionais, que variamde forma individual [29].
Dito isso, pode-se dizer que a gestão da segurança da informação envolve mais do quegerenciar os recursos de tecnologia da informação, hardware e software, envolve, também,o gerenciamento de pessoas e processos, contudo, algumas empresas negligenciam estefator.
Dessa forma, a política de segurança da informação e a devida conscientização dosusuários acerca da utilização dos recursos de TI são algumas da formas adequadas parase gerir a segurança desta camada.
2.4 Origem das normas ABNT NBR ISO/IEC 27001/27002/27005
O Governo Britânico foi quem criou praticamente todas as normas internacionais, emrelação a segurança da informação [20]. O primeiro padrão de segurança que deu origema série 27000 foi o BS 7799 (British Standard). Este padrão foi dividido em duas partes:a primeira BS 7799-1 chamada código de prática para gerenciamento de segurança foicriada 1995; a segunda parte, BS 7799-2, foi criada em 2002 com objetivo de certificar asorganizações a partir dos controles implementados pela primeira parte da norma.
Em 2005 as duas partes da norma foram traduzidas e publicadas pela ABNT com osnomes de NBR ISO/IEC 27002 e NBR ISO/IEC 27001, respectivamente.
Ainda em 2005, passa a existir a BS 7799-3, chamada de gestão de risco de segurançada informação [10]. A partir deste padrão, em 2008 foi criada a norma ISO/IEC 27005,que foi traduzida e publicada, passando a ser chamada NBR ISO/IEC 27005 (ABNT,2008). O Quadro a seguir exibe a descrição das normas ISO e BS, e suas equivalências.
Em particular, a NBR ISO/IEC 27002:2005 é voltada aos controles e práticas desegurança da informação, estabelecendo uma diretriz e os princípios gerais para gestão dasegurança da informação em uma organização [20].
A norma orienta as organizações na elaboração de uma Política de Segurança da Infor-mação. Esta, por sua vez, deve orientar na constituição de normas mais específicas para o
8
Figura 2.2: Normas e suas equivalências
contexto da organização e procedimentos voltados para o tratamento adequado das infor-mações e de outros ativos organizacionais que processam ou armazenam as informações.A norma também auxilia na classificação e identificação das informações e dos outrosativos relacionados quanto à respectiva importância para organização, levando em consi-deração aspectos como risco de perda e de divulgação indevida. Adicionalmente, dentreos controles sugeridos pela norma, diversos são direcionados para proteção desses ativose informações, como a análise crítica e manutenção da própria Política de Segurança daInformação, a delegação de responsabilidades relacionadas à segurança da informação eos controles de acesso físico às dependências da instituição.
Constam na norma onze seções de controles, que podem estar divididas em uma oumais categorias de controle. A numeração dessas seções se inicia com o número cinco.Juntas, as seções de controle totalizam trinta e nove categorias principais de segurança euma seção introdutória que aborda a análise, avaliação e tratamento de riscos. Ademais,cada seção possui um número de categorias principais de segurança da informação [11].
Em especial, a seção 14 será constantemente observada neste trabalho. Esta trata daGestão da Continuidade do Negócio, tema chave para o estudo de caso. Dessa forma, noprosseguimento do trabalho, encontra-se melhor detalhada a referida seção.
2.5 Gestão de Continuidade de NegóciosGestão de Continuidade de Negócios (GCN) é uma abordagem integrada que envolve
a mobilização de toda a organização para gerenciar crises e recuperar as operações apósa ocorrência de qualquer evento que cause uma ruptura operacional [8].
É essencial para qualquer empresa o desenvolvimento de estratégias de gestão de crisese de continuidade dos negócios. A crescente massa de informações e a grande dependênciados sistemas de computadores para a realização dos negócios, indicam que as empresas quenão têm processos de gestão implementados, têm maior exposição a riscos, aos prejuízosfinanceiros, ao comprometimento da imagem e as ações de responsabilidade legal.
Uma pesquisa do Chartered Management Institute (CMI) [31] apontou que 91% dosentrevistados que necessitaram acionar seu Plano de Continuidade de Negócios nos últimos12 meses concordam fortemente que possuir o plano as fizeram obter uma resposta eficazna redução do impacto relacionado ao desastre.
No prosseguimento desta seção, será detalhada a Seção 14 da norma ISO/IEC 27002e norma complementar 06/IN01/DSIC/GSIPR que tratam da gestão de continuidade denegócios e foram utilizadas como orientação para a realização deste trabalho.
9
2.5.1 Seção 14 da Norma ISO/IEC 27002
A Seção 14 da norma ISO/IEC 27002 [11] tem como objetivo principal não permitirque haja interrupção das atividades de negócio. Além disso, determina controles paraproteção dos processos críticos contra a consequência de possíveis falhas ou desastressignificativos e para assegurar a sua retomada em tempo hábil.
Ademais, a Seção 14 orienta que seja implementado um processo de gestão da conti-nuidade do negócio com intuito de minimizar um impacto sobre a organização e de tornaresta capaz de recuperar possíveis perdas de ativos da informação, em caso de desastres,acidentes, falhas de equipamento ou até ações intencionais. Convém, então, que esteprocesso sirva de orientação para identificar as atividades críticas e integrar a gestão desegurança da informação com as exigências da gestão da continuidade de negócios com ou-tros requisitos da continuidade relativo a aspectos como operações, materiais, transportee instalações.
É aconselhável, então, que as consequências de desastres, possíveis falhas de segurança,perda de serviços e disponibilidade dos serviços estejam sujeitas a uma análise de impactode negócios. Ademais, para realização de uma adequada análise de impacto de negócios,é necessário que sejam identificados os eventos, riscos, que podem causar interrupções aosprocessos de negócio junto com o impacto de tais interrupções e suas consequências.
Por fim, é importante salientar que a referida seção traz diretrizes para tal avaliaçãode riscos. A seção orienta que tais avaliações sejam realizadas com total envolvimentodos responsáveis pelos processos e recursos do negócio, ou responsáveis pelos serviços deTI, além de orientar que devem ser considerados aspectos como os recursos críticos e osimpactos da interrupção ao longo do tempo.
Também segundo a seção 14 da norma ISO/IEC 27002 [11], detalhada acima, con-vém que sejam identificados os eventos que podem causar interrupções aos processos denegócio, junto à probabilidade e impacto de tais interrupções e possíveis consequênciaspara segurança da informação.
O item 14.1.2 da referida seção dessa norma estabelece algumas diretrizes para que talanálise de riscos seja implementada. Esse item determina que, a partir da identificaçãodos eventos que podem causar interrupções, é interessante que seja realizada a análise deriscos para determinar o impacto de tais interrupções.
Adicionalmente, é orientado que tais avaliações de risco sejam realizadas junto aosresponsáveis pelos processos de negócio ou pelos responsáveis pelos serviços de TI. Assim,a análise dos riscos e posterior análise de impacto, caso esses riscos sejam materializados,estará melhor fundamentada e direcionada.
2.5.2 Norma Complementar 06/IN01/DSIC/GSIPR
Os problemas de vazamento de informações, ou quebra de sigilo em organizações pú-blicas são recorrentes. Entretanto, conforme mencionado na Seção 2.1, que explicita sobrea segurança da informação, há tempos o Governo Federal brasileiro vem implementandoprocedimentos para gestão da Segurança da Informação com vistas a minimizar tais pro-blemas. Grande parte destas ações está registrada em normas, decretos e Leis [19].
Desse modo, é fundamental para o prosseguimento deste trabalho que seja mencionadaa Norma Complementar 06/IN01/DSIC/GSIPR [14], publicada no DOU (Diário Oficialda União) No 223, de 23 Nov 2009 - Seção 1. Esta estabelece diretrizes para Gestão
10
de Continuidade de Negócios para aspectos relacionados à segurança da informação, nosórgãos e entidades da Administração Pública Federal, direta e indireta.
A norma define alguns conceitos importantes para o melhor entendimento da Gestãode Continuidade de Negócio. Dessa maneira, com intuito de corroborar com o tema destetrabalho, alguns conceitos foram abaixo detalhados:
• Atividades Críticas: atividades que devem ser executadas para garantir a conse-cução dos produtos e serviços fundamentais do órgão ou entidade e permitir atingiros seus objetivos mais importantes e sensíveis ao tempo.
• Análise de Impacto nos Negócios (AIN): visa estimar os impactos resultantesda interrupção de serviços e de cenários de desastres que afetam o desempenhodos órgãos ou entidades, bem como as técnicas para quantificar e qualificar essesimpactos. Define também a criticidade dos processos de negócio, suas prioridadesde recuperação, interdependências e os requisitos de segurança da informação ecomunicações para que os objetivos de recuperação sejam atendidos nos prazosestabelecidos;
• Ativos de informação: os meios de armazenamento, transmissão e processamento,os sistemas de informação, bem como os locais onde se encontram esses meios e aspessoas que a eles têm acesso;
• Continuidade de Negócios: capacidade estratégica e tática de um órgão ou enti-dade de se planejar e responder a incidentes e interrupções de negócios, minimizandoseus impactos e recuperando perdas de ativos da informação das atividades críticas,de forma a manter suas operações em um nível aceitável, previamente definido;
• Desastre: Evento repentino e não planejado que causa perda para toda ou parte daorganização e gera sérios impactos em sua capacidade de entregar serviços essenciaisou críticos por um período de tempo superior ao tempo objetivo de recuperação;
• Gestão de Continuidade: processo abrangente de gestão que identifica ameaçaspotenciais para uma organização e os possíveis impactos nas operações de negócio,caso estas ameaças se concretizem. Este processo fornece uma estrutura para quese desenvolva uma resiliência organizacional que seja capaz de responder efetiva-mente e salvaguardar os interesses das partes interessadas, a reputação e a marcada organização, e suas atividades de valor agregado;
• Incidente: evento que tenha causado algum dano, colocado em risco, algum ativode informação crítico ou interrompido a execução de alguma atividade crítica porum período de tempo inferior ao tempo objetivo de recuperação;
• Programa de Gestão da Continuidade de Negócios: processo contínuo degestão e governança suportado pela alta direção e que recebe recursos apropriadospara garantir que os passos necessários estão sendo tomados de forma a identificar oimpacto de perdas em potencial, manter estratégias e planos de recuperação viáveise garantir a continuidade de fornecimento de produtos e serviços por intermédioanálises críticas, testes, treinamentos e manutenção;
Ademais aos conceitos supracitados, a norma complementar 06/IN01/DSIC/GSIPRtambém direciona alguns procedimentos para a adequada elaboração de um Programa
11
de Gestão de Contuidade de Negócios. Para este trabalho serão utilizados dois destesprocedimentos:
• Definir as atividades críticas do órgão ou entidade;
• Avaliar os riscos a que estas atividades críticas estão expostas;
Dessa forma, ao final do trabalho, espera-se realizar uma análise de impacto nas ati-vidades de negócio críticas avaliadas e detalhadas posteriormente a partir dos riscos queos departamentos e os serviços de TI do CPD estão expostos.
12
Capítulo 3
Metodologia do estudo de caso
Os pilares desse estudo foram as normas NC 06/IN01/DSIC/GSIPR e ISO/IEC 27002,com o objetivo de entender a interdependência entre serviços de TI e atividade de negócio,bem como de realizar uma análise de impacto a partir da interrupção dos serviços de TIsobre as atividades críticas do negócio em uma instituição do ensino superior.
Sendo assim, do ponto de vista de seus objetivos, a pesquisa é classificada comoexploratória. "Um trabalho é de natureza exploratória quando envolver levantamentobibliográfico, entrevistas com pessoas que tiveram (ou tem) experiências práticas com oproblema pesquisado e análise de exemplos que estimulem a compreensão. Possui ainda afinalidade básica de desenvolver, esclarecer e modificar conceitos e ideias para a formulaçãode abordagens posteriores" [21].
Em relação a metodologia, esta pesquisa é classificada como um estudo de caso. Se-gundo Wohlin, Claes, et al. [17], essa metodologia é adequada para diversos tipos depesquisa relacionada a Engenharia de Software, visto que o objeto de estudo são, nor-malmente, fenômenos contemporâneos, difíceis de estudar isoladamente. O mesmo autorainda cita que estudos de caso não geram os mesmos resultados que, por exemplo, relaci-onamentos casuais avaliados por experimentos, mas fornecem um profundo entendimentodesse fenômeno a partir de estudos em seu contexto real .
Estas são características desta pesquisa, uma vez que foi avaliado em um contexto reale na percepção dos gestores e responsáveis de cada área avaliada: Centro de Informáticada UnB (CPD), Departamento de Ciência da Computação da UnB (CIC) e Decanato deGestão de Pessoas (DGP).
3.1 Descrição do Estudo de CasoConforme exposto por Wohlin, Claes, et al. [17], ao se conduzir um estudo de caso,
existem cinco aspectos fundamentais que devem ser seguidos conforme explicitado naFigura 3.1
De antemão, foram realizados entendimentos das áreas escopo deste trabalho: Cen-tro de Informática da UnB (CPD), Departamento de Ciência da Computação da UnB(CIC) e Decanato de Gestão de Pessoas (DGP). Posteriormente, dando o prosseguimentoao planejamento do trabalho, foram elaborados objetivo gerais e específicos para nor-tear a realização desse estudo de caso. Estes podem ser encontrados na introdução dodocumento.
13
Figura 3.1: Metodologia segundo Wholin, Claes, et al.
Por fim, todas essas etapas, bem como formalização do estudo de caso, delimitadaspor Wohlin, Claes, et al. [17], encontram-se melhor detalhadas no prosseguimento dessecapítulo e no decorrer do documento.
3.1.1 Amostra
Em vista da dificuldade e complexidade de realização desse estudo de caso em todauniversidade, o DGP - Decanato de Gestão de Pessoas e o CIC - Departamento de Ciênciada Computação foram escolhidos como amostra. O primeiro foi escolhido pela notóriarelevância no funcionamento de toda a Universidade de Brasília, importância decorrentedo fato do DGP ter como atribuições a elaboração de Políticas de Gestão de Pessoas,o desenvolvimento de atividades relativas à capacitação, à gestão de desempenho doscolaboradores, elaboração e manutenção da folha de pagamento, entre outras; e o segundopor se tratar do departamento responsável pelos cursos de bacharelado, engenharia elicenciatura em Computação, este último sendo o curso realizado pelo autor desse trabalho.
O estudo de caso foi realizado junto aos gestores das respectivas áreas:
1. CPD:
• Coordenador do Setor de Redes;• Coordenador do Setor de Segurança da Informação e• Coordenador do Setor de Suporte Avançado.
2. CIC:
• Coordenadores do departamento e• Professores do departamento.
3. DGP:
• Decana;
14
• Diretor do DPAM - Diretoria de Provimento, Acompanhamento e Movimenta-ção;
• Servidores do DPAM;• Diretor do DAP - Diretoria de Administração de Pessoas e• Servidores do DAP.
Pela posição e cargo, nota-se que os colaboradores tem uma ampla visão do funci-onamento de suas áreas, atividades críticas, riscos à que estão expostos, pontos fortes,fraquezas e deficiências.
3.1.2 Etapas do Estudo de Caso
A pesquisa foi realizada em quatro etapas. Na primeira etapa deste trabalho, fo-ram definidos os objetivos almejados pela pesquisa a partir da problemática que este es-tava exposto e também quais seriam os departamentos escopo da pesquisa. Em seguida,ainda nesta etapa, foi realizada uma pesquisa bibliográfica feita a partir das normas NC06/IN01/DSIC/GSIPR e ISO/IEC 27002, bem como aspectos da segurança da informaçãoe gestão da continuidade de negócios.
Na segunda etapa, foram realizadas entrevistas com os gestores das áreas de rede,segurança da informação e suporte avançado do CPD - Centro de Informática da UnB.As entrevistas tiveram como propósito o entendimento do ambiente de TI que o CPDgerencia, bem como os serviços de TI que este oferece e quais os riscos estes serviços estãoexpostos.
Na terceira etapa, depois de realizado o entendimento do ambiente de TI do CPD,foram realizadas entrevistas, dessa vez, com os gestores do CIC e DGP, áreas de negóciodelimitadas como escopo deste estudo de caso. Para realização destas entrevistas, foi uti-lizado um questionário orientador, previamente elaborado, baseado em conceitos expostosnas normas NC 06/IN01/DSIC/GSIPR e ISO/IEC 27002. Adicionalmente, o principalobjetivo destas entrevista foi a de conhecer as atividades de negócio críticas das duasáreas mencionadas e qual nível de dependência dessas atividades com os serviços de TIoferecidos pelo CPD. Dessa forma, foi possível a realização de uma análise qualitativa dasdependências entre as principais atividades de negócio do CIC e do DGP com os serviçosde TI oferecidos pelo CPD.
Na quarta etapa, depois de definidas as atividades críticas dos dois departamentos,CIC e DGP, foram realizadas aplicações de outros questionários, dessa vez, focados emavaliar o impacto de possíveis interrupções dos serviços de TI oferecidos pelo CPD paraas atividades de negócio. Estes questionários foram disponibilizados para resposta detodos os professores do CIC, para a decana do DGP e os respectivos diretores da DPAM(Diretoria de Provimento, Acompanhamento e Movimentação) e DAP (Diretoria de Ad-ministração de Pessoas). Recebidas as respostas, foram realizadas análises por meio degráficos que demonstram a estimativa de impacto nestes possíveis casos de interrupçãodos serviços de TI do CPD para as atividades de negócio.
Para resposta dos questionários e posterior análise, foi utilizado a escala a seguir:
• 0 - Sem impacto;
• 1 - Impacto baixo;
15
• 2 - Impacto médio;
• 3 - Impacto alto;
• 4 - Impacto muito alto, crítico.
Essa escala foi embasada a partir do exemplo de análise de impacto sugerido pela em-presa Gartner, Inc., especializada em pesquisas e consultoria em tecnologia da informação[5] [6].
3.2 Descrição do CPDO Centro de Informática (CPD) é um órgão complementar da Universidade de Brasília
responável pela Tecnologia da Informação e subordinado Decanato de Planejamento eOrçamento (DPO).
Este se originou a partir da criação da Universidade de Brasília, na qual se fez ne-cessário um Centro de Informática com objetivo de instituir as atividades de caráterpermanente de apoio, indispensáveis ao desenvolvimento do ensino, da pesquisa, e daextensão no que se refere ao processamento de dados.
Em 1991, foi criado o Centro de Informática, na época com a sigla CIn, com intuitode suceder ao então Centro de Processamento de Dados. A sigla permaneceu até 1993,quando, para evitar enganos corriqueiros quanto ao significado da sigla, foi retomada aabreviatura CPD.
É importante salientar que, em sua história, o CPD sempre se destacou como referênciano desenvolvimento, manutenção e forncecimento de serviços de tecnologia da informação.Entre as décadas de 70 e 90, foram desenvolvidos e implementados grande parte dossistemas coporativos que suportam as mais diversas áreas da universidade. Dentre osfatos históricos que tangem o Centro de Informática (CPD) da UnB, pode ser citadoque este foi o pioneiro no desenvolvimento de sistemas de recuperação de informações emtempo real através de terminais.
Adicionalmente, com intuito de corroborar com o entendimento do Centro de Infor-mática da UnB (CPD), abaixo estão explicitados seus objetivos estratégicos, dispostos nopróprio site do centro [2]:
1. Implementar e implantar normas e padrões fundamentais nas melhores práticas deTI;
2. Promover a atualização dos softwares e infraestrutura de tecnologia da informaçãoutilizada pela Universidade de Brasília;
3. Garantir a conectividade, qualidade e segurança dos serviços prestados;
4. Investir na capacitação dos colaboradores vinculados a área de tecnologia da infor-mação;
5. Prover serviços de qualidade;
6. Respeitar a legislação pertinente a área de tecnologia da informação;
7. Buscar constantemente padrões de qualidade na gestão de tecnologia da informação;
16
8. Promover a integração, motivação e o engajamento dos servidores lotados na Uni-dade de tecnologia da informação;
9. Planejar, acompanhar e executar as atividades em conformidade com o Plano deInstitucional - PDI.
3.2.1 Setores do CPD estudados no trabalho
O CPD, com objetivo de estar preparado e estruturado para atender adequadamenteàs áreas de negócio da Universidade de Brasília, se estrutura em gerências que, por suavez, se responsabilizam pelo funcionamento suporte de determinado serviço de tecnologiada informação.
Para este estudo de caso, foram realizadas reuniões para o entendimento da gerênciade redes e suporte, mais especificamente para as subáreas a seguir:
• Serviço de Suporte Avançado;
• Serviço de Segurança e Operação e
• Serviço de Administração e Segurança de Redes.
A subárea de Serviço de Suporte Avançado é responsável pelo suporte das máqui-nas, hardwares, que mantém os serviços de TI oferecidos pelo CPD. Estes equipamentos,por sua vez, suportam as atividades de negócio da UnB. Todo hardware relacionado, porexemplo, aos serviços de e-mail institucional, como servidor, ou, também, os hardwaresque estão relacionados à hospedagem de sites institucionais, são de responsabilidade dareferida subárea.
Outro serviço fundamental é o de realização de backup’s dos dados armazenados nosbancos de dados que o CPD administra. Este serviço, por sua vez, auxilia para que adisponibilidade dos serviços de TI oferecidos esteja garantida. Adicionalmente, o refe-rido setor realiza o monitoramento e testes de restauração dos backup’s realizados, comobjetivo de assegurar que estes atenderão quando necessário.
Outra subárea fundamental para este trabalho, conforme dito anteriormente, é a deServiço de Segurança e Operação. Esta é responsável por gerenciar e assegurar quea sala cofre está adequada para armazenar os hardwares ali alocados e por gerenciaro firewall utilizado pelo CPD. Conforme detalhado no prosseguimento deste trabaho, ofirewall é um recurso indispensável quando se trata da segurança de rede. Isto se justifica,devido ao fato do firewall se tratar de um dispositivo de uma rede computadores que tempor objetivo criar uma política de segurança a um determinado ponto de rede a partir dadeterminação de regras que impedem que informações indesejadas trafeguem na rede.
Por fim, a última subárea estudada foi a de Serviço de Administração e Segurançade Redes. Esta é responsável pelo gerenciamento e segurança do serviço de rede oferecidopelo CPD e que atende à toda infraestrutura de rede da comunidade acadêmica de algumaforma. Desde o acesso à internet sem fio até a tramitação de dados e informações na rede érealizado por meio da utilização deste serviço. Desse modo, nota-se que o serviço de rede,denominidado REDEUnB, é fundamental para as atividades acadêmicas e administrativasde servidores e docentes da universidade.
17
3.3 Principais serviços de TI oferecidos pelo CPDO CPD, Centro de Informática da Universidade de Brasília, fornece diversos serviços
de TI e softwares acadêmicos as demais atividades administrativas e de negócio da Uni-versidade. Esses serviços de TI suportam e apoiam a automatização e comunicação deatividades de negócio da instituição e são fundamentais para que os objetivos de cadadepartamento, secretaria e área da UnB sejam alcançados de forma satisifatória.
Abaixo estão listados alguns dos principais serviços prestados pelo Centro [2] que serãomelhor detalhados posteriormente.
• Disponibilização, desenvolvimento e manutenção de softwares para automação dosprocessos de negócios acadêmicos.
• Disponibilização, desenvolvimento e manutenção de sites de caráter institucional.
• Disponibilização e manutenção de serviço de correio eletrônico de caráter instituci-onal.
• Disponibilização e manutenção de serviço de acesso à internet.
• Manutenção da segurança dos dados que trafegam na REDEUnB.
• Suporte técnico aos usuários de TI na instituição.
Estes serviços serão melhor detalhados nas subseções seguintes, dando destaque paraos serviços de REDEUnB e Internet, serviço de correio eletrônico institucional (webmail),sistemas corporativos e hospedagem de sites institucionais.
Adicionalmente, durante a realização do trabalho, foram realizadas diversas entrevistasjunto aos colaboradores do CPD com intuito de identificar e avaliar os riscos que osserviços de TI oferecidos estão expostos. Posteriormente, essa avaliação irá auxiliar nodesenvolvimento da cadeia de dependências entre os serviços de TI oferecidos pelo CPDe as atividades de negócio dos setores avaliados.
3.3.1 Lista de Softwares Homologados pelo CPD
Tendo em vista que grande parte dos departamentos lotados na Universidade de Bra-sília faz a utilização de softwares para desevolvimento de suas atividades, no apêndicedesse documento são listados os softwares acadêmicos homologados que dão suporte àsmais diversas atividades administrativas, bem como uma breve descrição destes e qualdepartamento é atendido com o respectivo software [7].
3.3.2 REDEUnB
Um dos serviços fundamentais oferecidos pelo CPD/UnB é a REDEUnB. Esse serviçotem como objetivo garantir a conectividade dos ativos de Tecnologia da Informação daUniversidade, bem como de garantir o acesso à Internet aos usuários da rede.
Dessa forma, torna-se possível a troca de informações pela comunidade acadêmica,assim como o desenvolvimento de forma adequada das atividades de alunos, professores,colaboradores e público em geral da Universidade.
18
De acordo com o CPD e a partir de entrevistas realizadas com colaboradores do setorresponsável pela rede, a REDEUnB (Rede de Dados da Universidade de Brasília) é estrutu-rada atualmente sobre uma ampla capilaridade de fibra óptica que abrange determinadasregiões consideravelmente afastadas do campus Darcy Ribeiro, localizado na região admi-nistrativa do Plano Pilato, setor da Asa Norte, conforme figura 4.1. Essa infraestruturaatende a aproximadamente 19200 (dezenove mil e duzentos) pontos de acesso cabeados.Essa rede é alicerçada em seu backbone por 4 (quatro) robustos switches core (de núcleo)com capacidade de backplane de 9.5 Tbps, 2.56 Tbps em capacidade de switching e su-porta throughput de 1920 Mpps. O backbone é composto pelos nós identificados por ICC(Instituto Central de Ciências), FT (Faculdade de Tecnologia), FINATEC (Fundação deEmpreendimentos Científicos e Tecnológicos) e o CPD (Centro de Informática).
A figura 3.2 demonstra como está disposto roteamento OSPF da rede da UnB, bemcomo fica clara a disposição do backbone e onde seus nós identificados, conforme mencio-nado acima. Essa figura foi obtida junto aos colaboradores responsáveis pela área de rededo CPD da UnB e está localizada no website http://www.srs.unb.br/redes/redespag3.htm,cujo acesso é restrito aos usuários do CPD.
Figura 3.2: Roteamento OSPF rede UnB. Fonte:http://www.srs.unb.br/redes/redespag3.htm
Adicionalmente, conforme a Figura 3.3, nota-se o alcance da rede e algumas das regiõese campi por ela cobertas citadas abaixo:
• Faculdade de Ceilândia - FCE;
• Núcleo de práticas jurídicas - NPJ;
• Faculdade do Gama - FGA;
• Faculdade de Planaltina - FPU;
• Hospital Veterinário na Granja do Torto - HVET;
19
Figura 3.3: Alcançe da RedeUnB. Fonte: CPD, Rede UnB, Figura 1,http://www.cpd.unb.br/redes-e-conectividade
• Fazenda Água Limpa - FAL;
• Edifício Anápolis - SCS;
• Edifício OK - SCS;
• Estação Experimental de Biologia - EEB;
• Centro de Ensino à distância - CEAD;
Fora a REDEUnB, o CPD também fornece a rede Eduroam (Education Roaming).Este serviço é destinado principalmente para comunidade internacional de educação epesquisa. O serviço torna possível que estudantes, pesquisadores e equipes das instituiçõesparticipantes obtenham conectividade à Internet, utilizando uma conexão sem fio (wi-fi),dentro dos respectivos campi e em qualquer localidade que provenha esse serviço.
Conforme descrito pela Rede Nacional de Ensino e Pesquisa em seu site institucional[3], "o serviço Eduaroam foi lançado no Brasil em 2012. A iniciativa internacional járeúne instituições de aproximadamente 60 países, unindo diversos usuários na troca deexperiências e conhecimento. Além da segurança, o eduroam tem como benefícios a suaintegração à Comunidade Acadêmica Federada (CAFe), a mobilidade e a facilidade deuso."
É importante salientar que o acesso seguro e sem fio à Internet é realizado sem anecessidade de múltiplos logins e senhas. Ao ser realizado o cadastro na base do serviço,seguido da configuração do computador do usuário para conexão com a rede, é possívelacessar a web em qualquer provedor de serviço do mundo.
3.3.3 UnB Webmail
Com intuito de proporcionar aos colaboradores, professores e alunos da Universidadede Brasília uma ferramenta de auxílio na comunicação entre as partes, fundamentalpara troca de informações e que suporta as mais variadas atividades administrativas,oCPD/UnB disponibiliza o UnB Webmail, ferramenta de e-mail institucional do domíniounb.br.
O UnB Webmail faz a utilização do software livre IMP/HORDE - ferramenta opensource que se encontra em constante desenvolvimento a partir da colaboração da comu-nidade que a utiliza.
20
O acesso a ferrmaneta ocorre através de uma conexão segura, utilizando o protocoloHTTPS, que o torna mais prático e seguro quando da comunicação entre o computa-dor do usuário e o servidor de e-mail da UnB. Estas informações passam por um canalcriptografado de 256 bits, impedindo que outras pessoas tenham acesso às informaçõesvisualizadas pelo usuário após o seu login no sistema.
A interface web permite que o usuário da ferramenta tenha acesso e possa utilizar deforma adequada todas as operações possíveis relacionadas ao seu e-mail da UnB, como:envio e recebimento de mensagens; criação de pastas particulares para organizar e ar-mazenar mensagens específicas; criação de uma lista de contatos; criação de filtros porassunto; entre outras.
Adicionalmente, por se tratar de uma ferramenta de código aberto, é recomendado que,para melhor vizualização do conteúdo, sejam utilizados navegadores também de códigoaberto.
Portanto, explicitado o funcionamento do e-mail e verificando que, no contexto dagrande maioria das empresas, o e-mail corporativo é a principal forma de comunicaçãointerna, é notória a criticidade e os diversos impactos negativos de eventuais interrupçõesda ferramenta no cotidiano corporativo.
3.3.4 Hospedagem de Site Institucional
Outro serviço de extrema importância fornecido pelo CPD/UnB é a hospedagem desites institucionais.
Nota-se que grande parte do público universítário, para não mencionar a totalidade,faz a utilização dos serviços de Internet, bem como buscam utilizar dessa ferramenta paracumprimento de seus mais diversos objetivos. Com isso, os sites institucionais se tornamcada vez mais utilizados pelos departamentos da universidade para divulgação de suasatividades. Dessa forma, torna-se clara a relevância do serviço de hospedagem destessites institucionais para as atividades de negócio da UnB.
Adicionalmente ao prórprio serviço de hospedagem, são disponibilizados modelos detemplates para customização do site e orientação para utilização da ferramenta JO-OMLA,software de gestão de conteúdo, de códido aberto, que permite a criação de sitesde forma customizável e de fácil manutenção [28].
Conforme disposto no próprio site institucional do CPD, esse serviço visa atenderprioritariamente os Conselhos Superiores, Reitoria, Vice Reitoria, Decanatos, Centros,Assessorias, Secretarias, Diretorias, Órgãos complementares, Órgãos auxiliares, faculda-des, institutos e departamentos da universidade.
3.3.5 SEI - Sistema Eletrônico de Informações
O Sistema Eletrônico de Informações (SEI), desenvolvido pelo Tribunal Regional Fe-deral da 4a Região (TRF4), é a plataforma que engloba conjunto de módulos e funciona-lidades que promovem a eficiência administrativa.
Trata-se também de um sistema de gestão de processos e documentos eletrônicos, cominterface amigável e práticas inovadoras de trabalho, tendo como principais característicasa libertação do paradigma do papel como suporte físico para documentos institucionais
21
e o compartilhamento do conhecimento com atualização e comunicação de novos eventosem tempo real.
O SEI foi implementado em 16 de maio de 2016 na Universidade de Brasília comprincipal objetivo de otimizar e modernizar as rotinas de trabalho dos colaboradoresda Universidade de Brasília. A partir dessa implementação, os novos documentos serãocriados e tramitados com a utilização do SEI.
Tal mudança vai reduzir drasticamente a utilização de papel na Universidade, propor-cionando ganhos em eficiência, agilidade e qualidade de vida no trabalho da instituição.Adicionalmente, processos extensos poderão ser mais bem analisados por meio do recursode busca textual e problemas de perda de documentos por falhas no transporte ou controleda tramitação, comuns anteriormente, tendem a não ocorrer mais.
Ademais, o gerenciamento e suporte desse sistema estarão sob responsabilidade doCentro de Informática da UnB, CPD, justificando a inclusão desse sistema no escopodeste trabalho.
3.4 Descrição do Departamento de Ciência da Compu-tação da UnB - CIC
O Departamento de Ciência da Computação da UnB (CIC) é resposável por oferecercursos de graduação e pós-graduação na área de Tecnologia da Informação na Universidadede Brasília [1].
Os cursos de graduação oferecidos são:
• Bacharelado em Ciência da Computação
• Engenharia de Computação
• Engenharia Mecatrônica
• Licenciatura em Computação
Já os cursos de pós-graduação podem ser dividos em:
• Pós-Graduação em Informática
• Pós-Graduação em Computação Aplicada
O Departamento de Ciência da Computação, hoje, conta com nove servidores e cincoestagiários responsáveis por auxiliar nas atividades administrativas do departamento.Também conta com quarenta e quatro professores responsáveis por ministrar as aulasdos cursos oferecidos e desenvolver pesquisas nos mais diversos temas que abrangem aComputação, como os seguintes: Análise de Redes Sociais, Banco de Dados, Bioinfor-mática, Computação Gráfica, Computação Paralela, Computação Sônica, ComputaçãoUbíqua, Compressão de dados, Criptografia, Engenharia de Software, Foresight e Fore-casting Tecnológico (Estudos de Futuro), Gestão da segurança da informação, Informáticae Educação, Inteligência Artificial, Jogos Eletrônicos, Mineração de Dados, Orientação aobjetos e software livre, Processamento Digital de Sinais e Imagens, Redes de Compu-tadores/Segurança, Robótica, Teoria da Computação e Lógica Computacional, Sistemas
22
Distribuídos, Sistemas de Informação, Sistemas Embarcados, Sistemas Multiagentes eVisão Computacional.
Em apoio às mais diversas atividades de pesquisa supracitadas, o CIC conta com oitolaboratórios de pesquisa em áreas específicas:
• COMNET (Computer Networks LAB): Pesquisas em redes sem fio, redes de sen-sores, redes ópticas, algoritmos distribuidos, otimização de roteamento, Internet dofuturo, Análise de Tráfego, QoS, Segurança e Confiança.
• LABID (Laboratório de Bioinformática e Dados): Pesquisa em Bioinformática,Bancos de dados e Computação Distribuida.
• LAICO (Laboratório de Sistemas Integrados e Concorrentes): Pesquisas em Com-putação reconfigurável, Sistemas embarcados, robotica, desenvolvimento de jogos ,hardware, microletrônica.
• LAFORCE (Laboratório de Formalismos da Computação e Experimentos em mé-todos Formais): Pesquisa em Teoria, Formalismos e Lógica Computacional, Mode-lagem Computacional e Matemática, Aplicações em Métodos Formais e Produçãoda Fala.
• LARA (Laboratório de Raciocínio Automatizado): Pesquisas em Inteligência arti-ficial, inteligência artificial aplicada, sistemas de apoio a decisão, raciocínio proba-bilístico, representação do conhecimento, mineração de dados e textos, sistemas derecomendação, sistemas tutores inteligentes, ambientes computacionais de aprendi-zagem, sistemas para cooperação, e controle semafórico neuro-fuzzy.
• LES (Laboratório de Engenharia de Software): Pesquisa em engenharia de software,dependabilidade e confiabilidade de sistemas.
• LISA (Laboratório de Imagens, Sinais e Áudio): Processamento Digital de Sinais,Processamento de Imagens e Visão Computacional.
• TRANSLAB (Laboratório de Transporte Aéreo): Pesquisas em Web Inteligente(Rede Social, e segurança), Inteligente Artificial em Transporte aéreo, e Data Mi-ning.
Além dos laboratórios citados, o CIC ainda conta com laboratórios de apóio à gradu-ação, pós-graduação e pesquisas genéricas em computação.
Adicionalmente, o CIC ainda oferece atividades de extensão que vão muito além deatividades tradicionais de sala de aula. Atividades complementares como iniciação cientí-fica e tecnológica, programas acadêmicos, eventos científicos, além de atividades culturaise sociais. Alguns exemplos:
• Projeto meninas na computação: Fornece informação de qualidade às jovensem processo de escolha do curso para prosseguimento nos estudos.
• Projeto Participar: Software desenvolvido para auxiliar na educação de alunosexcepcionais.
23
3.4.1 Estudo sobre as principais atividades desenvolvidas no CIC
Com intuito de avaliar as principais atividades de negócio realizada no departamentode Ciência da Computação da UnB - CIC, foram realizadas entrevistas junto aos profes-sores responsáveis: Professora Dra. Alba Cristina Magalhães A. de Melo e Professor Dr.André Costa Drummond, chefe de departamento.
A partir do entendimento realizado, foi informado que a principal atividade realizadapelos professores do Departamento de Ciência da Computação da UnB é a pesquisa cien-tífica.
Ademais, além de avaliar quais as atividades críticas do CIC, as entrevistas tambémtiveram o objetivo de verificar os serviços de TI necessários para as atividades, a periodi-cidade da ocorrência de falhas e impacto inicial em caso de interrupção.
As questões elaboradas para melhor direcionar estas reuniões iniciais de entendimentoencontram-se detalhadas no apêndice desse documento.
3.5 Descrição do Decanato de Gestão de Pessoas - DGPO Decanato de Gestão de Pessoas - DGP da Universidade de Brasília pode ser conside-
rado como órgão executivo responsável pela gestão de pessoas da universidade. Conformeapresentado em Ato da Reitoria No 1013/2015, o DGP tem como competências centraisa definição de políticas de Gestão de Pessoas; o desenvolvimento de atividades relativas àcapacitação, à gestão de desempenho, à progressão na carreira; o gerenciamento da vidafuncional do quadro técnico-administrativo e docente, do ingresso ao egresso; a execuçãode registros funcionais; a elaboração e manutenção da folha de pagamento; bem comoa execução de ações de promoção e atenção à saúde, segurança e qualidade de vida doservidor.
Como metas específicas para este decanato, podem ser explicitadas as seguintes:
• Formular as políticas e diretrizes da sua área de atuação;
• Promover e gerir a execução das atividades relativas à administração; ao provimento,acompanhamento e movimentação; à capacitação, desenvolvimento e educação; àsaúde, segurança e qualidade de vida no trabalho dos servidores que atuam naUniversidade;
• Estabelecer normas e procedimentos necessários ao cumprimento das deliberaçõesdos órgãos que compõem a Administração Superior concernentes à gestão de pessoas;
• Orientar as unidades acadêmicas e administrativas no cumprimento de normas in-ternas e externas, relacionadas a atividades do DGP, e auxiliá-las na implementaçãodos procedimentos estabelecidos;
• Monitorar e avaliar metas e resultados da execução dos planos, programas e projetosinstitucionais;
• Efetuar o registro de atos e fatos, apurados como ilegais ou irregulares, e adotar asprovidências necessárias à responsabilização do agente, comunicando o fato à auto-ridade a quem o responsável esteja subordinado e ao órgão ou unidade do Sistemade Controle Interno.
24
Ademais, o referido Ato da Reitoria também explicita a missão, visão e valores dodecanato da seguinte forma:
• Missão: Promover a gestão, desenvolvimento e potencialização de pessoas contri-buindo para a busca permanente da excelência, saúde, segurança e qualidade devida no trabalho.
• Visão: Ser padrão de excelência nacional em gestão de pessoas em InstituiçõesFederais de Ensino Superior.
• Valores: Humanização nas relações de trabalho;Respeito à diversidade; Saúde,segurança e qualidade de vida; Excelência; Trabalho em equipe; Satisfação no tra-balho; Democratização do acesso às informações; Ética e transparência nas ações;Compromisso institucional; Responsabilidade sócio ambiental.
3.5.1 Estudo sobre as principais atividades desenvolvidas no DGP
Com intuito de avaliar as principais atividades de negócio realizadas no Decanatode Gestão de Pessoas - DGP, inicialmente foi realizada reunião com a Decana do DGP,professora Dra. Maria Ângela Guimarães Feitosa, responsável por gerenciar e responderpelas atividades desempenhadas pelo Decanato.
Foi informado pela Sra. Maria Ângela que, pelo DGP se tratar do Decanato respon-sável pela Gestão dos Colaboradores da Universidade de Brasília, o Decanato lida comuma massa muito grande de informações pessoais, cadastrais e financeiras dos diversosservidores, docentes e pensionistas que estão vinculadas à UnB. Dessa forma, o DGP deveestar provido e suportado, de forma consitente e adequada, pelos serviços de TI do CPDdevido à alta criticidade das atividades que esta área universidade é responsável.
Ainda segundo a referida Decana, dentre as diversas atividades que são desenvolvidaspelo DGP, destacam-se as atividades relacionadas a elaboração e atualização da fo-lha de pagamento dos colaboradores da universidade e as atividades que suportam oingresso e remoção de colaboradores na Universidade de Brasília.
Dessa forma, para que fosse realizado um melhor entendimento sobre essas ativida-des supracitadas, foi indicado pela decana que fossem realizadas novas reuniões junto aosdiretores das respectivas áreas responsáveis: DPAM - Diretoria de Provimento, Acompa-nhamento e Movimentação para o processo de ingresso de colabores e DAP - Diretoriade Administração de Pessoas para atividades relacionadas a elaboração e atualização dafolha de pagamento.
As questões elaboradas para melhor direcionar estas entrevistas iniciais de entendi-mento encontram-se detalhadas no apêndice desse documento. Dessa maneira, tornou-sepossível a coleta de informações sobre quais serviços de TI oferecidos pelo CPD estãorelacionados com os processos das duas diretorias do DGP delimitadas.
25
Capítulo 4
Resultados
4.1 Riscos que podem impactar os serviços oferecidospelo CPD
4.1.1 Riscos que podem impactar a REDEUnB
Foi identificado que o serviço de REDEUnB está diretamente relacionada com o for-necimento de energia, cuja responsabilidade é da Prefeitura da UnB. Por exemplo, paraque os pontos de acesso, que proporcionam o serviço de rede sem fio aos usuários dacomunidade acadêmica, funcionem adequadamente, é necessário que haja o mínimo deenergia elétrica disponível. Isso ocorre, devido à utilização de tecnologia Power overEthernet (PoE) que permite a transmissão de energia elétrica juntamente com os dadostransmitidos na rede para um dispositivo remoto através de um cabo de rede. Outro fatorimportante que deve ser reiterado é que a interrupção do fornecimento de energia elétricapode causar impactos fortemente negativos no serviço de rede cabeada, como por exemploa queima de portas de switch ou até mesmo equipamentos inteiros.
Dessa forma, caso haja uma interrupção no fornecimento de energia elétrica e ocorrauma falha nos geradores, o serviço de rede fornecido pelo CPD é totalmente comprometido,ocasionando na indisponibilidade do serviço. Tal indisponibilidade impactaria em média6.500 acessos diários que são realizados simultaneamente.
Para corroborar essa informação, segue Figura 4.1 que explicita a quantidade de acessosdiários aos serviços de rede oferecidos pelo CPD. Nota-se pela figura, extraída no dia25/05/2016 junto aos servidores da área de rede do CPD e fazendo referência desde o dia25/04/2016 à 25/05/2016, que em um dia a quantidade de acessos à rede pode ultrapassardez mil. Outro fator importante que deve ser mencionado é notória diferença quantitativados acessos que ocorrem durante a semana em relação aos fins de semana, acompanhandocertamente os dias letivos.
Para melhor analisar a Figura 4.1, deve-se considerar a numeração das semanas pelopadrão americano [4].
Ainda com relação aos acessos simultâneos ao serviço de rede oferecido pelo CPD,segue Figura 4.2 obtida junto aos colaboradores da subárea de Serviço de Administraçãoe Segurança de Redes que, por sua vez, demonstra quais os horários este serviço é maisutilizado. Essa informação é importante tendo em vista que, caso haja uma interrupçãoneste serviço às 9 horas da manhã, por exemplo, aproximadamente 6.260 usuários serão
26
Figura 4.1: Acessos simultâneos aos seriços de Rede oferecidos pelo CPD. Fonte: imagemobtida junto aos colaboradores da área de Rede do CPD.
impactados. Caso essa interrupção ocorra às 11 horas da manhã aproximadamente 9.500usuários serão impactados.
Figura 4.2: Acessos simultâneos aos seriços de Rede oferecidos pelo CPD em um períodode 24 horas. Fonte: imagem obtida junto aos colaboradores da área de Rede do CPD.
Por fim, outro risco que pode comprometer substacialmente o serviço de rede ofer-tado pelo CPD, são possíveis depreciações na infraestrutura de cabeamento da rede, cujaresponsabilidade também é da prefeitura da UnB.
4.1.2 Riscos que podem impactar o funcionamento do Firewall e,consequementemente, os serviços do CPD
Conforme conversado com colaboradores do CPD responsáveis pelo setor de Segurançada Informação, o firewall utilizado para segurança de rede é o Firewall Next Generationda empresa Palo Alto Networks. Esse dispositivo foge ao modelo convencional de endereçoIP, porta e protocols, focando-se em usuários e aplicações, simplificando o gerenciamento.Adicionalmente, esse dispostivo acarreta na melhoria da produtividade de cada usuário,visto que aplicações que não fazem parte do escopo de trabalho da empresa são bloqueadas,e no aumento significativo do nível de segurança de cada usuário permitindo a geração derelatórios administrativos para o planejamento e uso da rede por cada cliente.
27
Contudo, é notório que, por melhor que sejam os mecanismos de segurança de umaorganização, não há sistema que seja totalmente seguro, visto que vão sempre existirfalhas e novas vulnerabilidades, fazendo com que haja uma preocupação constante com osistema a ser utilizado.
4.1.3 Ocorrências que impactaram os serviços do CPD
A fim de corroborar com os entendimentos obtidos junto aos colaboradores do CPDe de analisar quantitativamente as ocorrências de indisponibilidades e interrupções dosserviços de TI oferecidos pelo CPD, solicitou-se aos gestores do Centro de Informáticauma listagem de ocorrências observadas. Contudo, foi disponibilizado para realizaçãodesse estudo de caso apenas as ocorrências no período de julho à dezembro de 2015.
É importante salientar que tal relação obtida descrevia brevemente cada ocorrência e,na maioria dos casos, não explicitava o tempo que a ocorrência permaneceu vigente e emquanto tempo esta foi solucionada.
Ao ser analisada a relação, foram identificados 50 eventos que impactaram nos serviçosmencionados anteriormente. As ocorrências identificadas estão relacionadas ao serviço deweb-mail, serviço de rede, hospedagem de sites, aplicações oferecidas, ao firewall utilizadopelo CPD e a falhas no fornecimento energia/recebimento de energia.
A Figura 4.3, criada a partir da referida relação de ocorrências, descreve os eventosocorridos e considerando, também, as ocorrências críticas.
Figura 4.3: Gráfico das ocorrências no CPD.
Tornam-se, então, evidentes alguns problemas corriqueiros relacionados aos serviçosoferecidos pelo CPD, decorrentes da materialização dos riscos aos quais estes serviçosestão expostos, que podem impactar negativamente as atividades de negócio.
Por último, outro fator importante a ser mencionado é que, devido à restrições or-çamentárias impostas ao CPD, não estão sendo mais realizados plantões aos finais desemana. Desse modo, interrupções nesse período não serão tratadas prontamente.
28
4.2 Cadeia de dependências entre serviços de TI doCPD e atividades de negócio
Conforme explicitado na metodologia deste trabalho, um dos objetivos traçados a seralcançado é o de obter um grafo determinando as dependência entre as atividades denegócio das áreas escopo, CIC e DGP, e os serviços de TI oferecidos pelo CPD.
Contudo, para elaboração desse grafo de dependência, foi realizada reunião junto aosresponsáveis pelas áreas escopo. Ademais, com intuito de nortear essa reunião, foi utili-zado um pré-questionário localizado no apêndice B desse documento.
4.2.1 Depedências entre serviços de TI e atividades de negóciodo CIC
Segundo os responsáveis pelo Departamento de Ciência da Computação da UnB, aprincipal atividade de negócio desenvolvida pelos professores do CIC é a pesquisa cientí-fica. Essa atividade, ainda segundo os responsáveis, depende dos seguintes serviços:
• Internet (sem fio e cabeada): possibilita que os professores tenham acesso ade-quado aos serviços de e-mail institucional da UnB, e aos demais recursos advindosda Internet, como: acesso a sites institucionais de outros pesquisadores, permitea leitura de periódicos divulgados e a realização de outras atividades inerentes aoprocesso de pesquisa.
• E-mail institucional: os artigos acadêmicos desenvolvidos devem ser enviadospara publicaçao através do e-mail institucional. Essa prática é seguida pela comu-nidade acadêmica com intuito de assegurar a credibilidade e confiabilidade do queestá sendo enviado para publicação.
Ambos serviços de tecnologia da informação são oferecidos e suportados pelo CPD dauniversidade. Desse modo, foram avaliados nesse trabalho e utilizados para elaboraçãodo grafo de dependências.
Os responsáveis pelo departamento também infomaram o impacto estimado de pos-síveis interrupções destes serviços para a pesquisa científica e uma estimativa da peri-odicidade que estas ocorrem. Ademais, com intuito de melhor explicitar os possíveisimpactos, segue a Tabela 4.1 que relaciona os serviços de TI mencionados, os impactospara a atividade de pesquisa científica e a periodicidade das interrupções.
Tabela 4.1: Impacto estimado dos serviços de TI no CICServiço de TI Impacto Estimado Periodicidade de Falhas
E-mail Institucional Alto Uma vez ao mês.Internet (sem fio e cabeada) Alto Três vezes ao mês.
Estes impactos foram estimados pelos professores responsáveis pelos seguintes aspec-tos:
• Interrupções no e-mail institucional: interrupções no serviço de e-mail podemacarretar em atrasos no envio de artigos acadêmicos desenvolvidos para publicação.
29
Isso poderia impactar negativamente na credibilidade da instituição UnB perante acomunidade acadêmica ou até impossibilitar a apresentação de alguns trabalhos depesquisa em congressos e eventos de pesquisa. Ademais, tal perda de credibilidadepode impactar na atração de recursos financeiros e humanos fundamentais pararealização de novas pesquisas. Ademais, são constantes os erros no controle de spamaos quais o e-mail institucional está esposto, constantes interrupções que acarretamem um estado crítico na fila de e-mail. Por fim, possíveis interrupções podemimpactar negativamente a realização de backups dos e-mails enviados.
• Interrupções na internet (sem fio e cabeada): interrupções do serviço da RE-DEUnB podem afetar de forma abrupta as atividades inerentes à pesquisa acadêmicarealizada pelos professores, visto que o acesso ao e-mail institucional, a sites institu-cionais, e a outros recursos necessários para pesquisa ocorrem por meio da Internet.Sem acesso à internet (sem fio e cabeada) é notório que os professores tornam-seincapacitados de acessar os servidores do CPD que contenham dados relevantes parapesquisas, atualizar o conteúdo de sites institucionais, acessar períodicos importan-tes para comunidade voltada de pesquisa acadêmica, acesso à informações sobrecongressos, entre outros aspectos que serão impactados.
Adicionalmente, com intuito de corroborar com a elaboração do grafo de dependências,buscou-se descrever também como os serviços de TI são suportados e suas respectivasdependências.
segue Figura 4.4 que descreve a relação de dependências entre a atividade de pes-quisa científica desenvolvida pelos professores do CIC, determinada como crítica por seuscoordenadores responsáveis, e os serviços de TI oferecidos pelo CPD.
Figura 4.4: Relação de dependências entre as atividades de pesquisa científica e os serviçosde TI do CPD.
A Figura 4.4 demonstra que a atividade de pesquisa científica (item PC), depende,inicialmente, dos serviços de e-mail institucional e do serviço de internet, sem fio e ca-
30
beada, (itens E e I), para que seja desenvolvida de forma adequada pelos professores doDepartamento de Ciência da Computação.
Além disso, nota-se que estes serviços, por sua vez, dependem do correto funciona-mento e da disponibilidade dos seus respectivos servidores e bancos de dados (itens SHEe SHI), bem como dependem do serviço de Rede, também disponibilizado pelo CPD.
Já o serviço de rede (item R), depende de uma infraestrutura adequada e segura(item IR), com cabeamento estruturado, além de switches, roteadores e access pointsfuncionando adequadamente.
O Firewall, evidenciado pela barra em vermelho, também foi demonstrado na Figura4.4 por se tratar do componente que aplica políticas de segurança para os serviços de TIvinculados à rede. Interrupções no firewall seriam de grande impacto para as atividadesde negócio.
Por fim, todos os servidores e hardwares vinculados aos serviços de e-mail instituci-onal e internet (sem fio e cabeada), bem como toda insfraestrutura de rede, dependemintegralmente de um adequado fornecimento de energia elétrica (item EE) que, conformejá explicitado na descrição do serviço de rede e dentre os riscos aos quais os serviços derede estão expostos, é de responsabilidade da prefeitura da UnB.
4.2.2 Depedências entre serviços de TI e atividades de negóciodo DGP
Conforme já explicitado na metodologia, segundo a decana do DGP, dentre as diversasatividades que são desenvolvidas pelo DGP, destacam-se as atividades relacionadas aelaboração e atualização da folha de pagamento dos colaboradores da universidade eas atividades que suportam o ingresso e remoção de colaboradores na Universidade deBrasília.
Para corroborar esse entendimento, foram realizadas entrevistas junto aos diretoresdo DAP (Diretoria de Administração de Pessoas) e DPAM (Diretoria de Provimento,Acompanhamento e Movimentação). Segundo os diretores, as atividades de ingresso eremoção de colaboradores e elaboração e atualização da folha de pagamento dependemdos seguintes serviços de TI, respectivamente:
• SEI (Sistema Eletrônico de Informações): possibilita o gerenciamento da do-cumentação referente ao ingresso, remoção e realocação de colaboradores, bem comoa tramitação desses documentos.
• SIPES: possibilita a atualização dos dados pessoais e bancários dos colaboradoresque constam na folha de pagamento da UnB. Elaborada a folha de pagamento,o sistema gera uma ficha financeira que irá auxiliar possíveis consultas de dadosfinanceiros dos funcionários.
Ambos serviços de tecnologia da informação são oferecidos e suportados pelo CPD dauniversidade. Desse modo, foram avaliados nesse trabalho e utilizados para elaboraçãodo grafo de dependências.
Os responsáveis pelas diretorias também infomaram o impacto estimado de possíveisinterrupções destes serviços para as atividades críticas e uma estimativa da periodicidadeque estas ocorrem. Ademais, com intuito de melhor explicitar os possíveis impactos, segue
31
Tabela 4.2: Impacto estimado dos serviços de TI no DGPServiço de TI Impacto Estimado Periodicidade de Falhas
Ingresso e remoçãode colaboradores. Alto Uma vez ao mês.
Elaboração e atualizaçãoda folha de pagamento. Alto Três vezes ao mês.
a Tabela 4.1 que relaciona os serviços de TI mencionados, os impactos para a atividadede pesquisa científica e a periodicidade das interrupções.
Estes impactos foram estimados pelos professores responsáveis pelos seguintes aspec-tos:
• Interrupções no SEI: interrupções no Sistema Eletrônico de Informações poderiaimpactar no atraso do envio de documentos, documentos enviados pelo SEI podemnão ser visualizados no momento adequado, entre outros.
• Interrupções no SIPES: interrupções no SIPES, mais especificamente no dia dofechamento da folha de pagamento, podem ser altamente críticas, visto que não serápossível realizar atualizações nas informações bancárias e pessoais dos colaboradoresjá existentes, ou até mesmo acrescentar dados bancários de novos colaboradores que,dessa vez, irão constar na folha de pagamento.
Adicionalmente, com intuito de corroborar com a elaboração do grafo de dependências,buscou-se descrever também como os serviços de TI são suportados e suas respectivasdependências.
A Figura 4.5 descreve a relação de dependências entre a atividades críticas desenvol-vidas pelos colaboradores do DGP e os serviços de TI oferecidos pelo CPD.
A figura 4.5 demonstra que as atividades elaboração e atualização da folha de paga-mento e atividades relacionadas ao ingresso e remoção de colaboradores da universidade(itens FP e IC) dependem, inicialmente, dos aplicativos SIPES e SEI (itens 3 e 4), res-pectivamente, para que sejam desenvolvidas de forma adequada pelos colaboradores daDAP e DPAM, do DGP.
Além disso, nota-se que, da mesma forma que os serviços de e-mail institucional e deinternet (sem fio e cabeada), estes aplicativos dependem do correto funcionamento e dadisponibilidade dos seus respectivos servidores e bancos de dados (itens SHSi e SHSe),bem como dependem do serviço de Rede (item R), também disponibilizado pelo CPD.
Já o serviço de rede (item R) depende de uma infraestrutura de rede adequada esegura (item IR), com cabeamento estruturado, além de switches, roteadores e accesspoints funcionando adequadamente.
O Firewall, demonstrado com a barra em vermelho, também foi demonstrado na Figura4.5 por se tratar do componente que aplica políticas de segurança para os serviços de TIvinculados à rede.
Por fim, todos os servidores e hardwares vinculados aos serviços de e-mail instituci-onal e internet (sem fio e cabeada), bem como toda insfraestrutura de rede, dependemintegralmente de um adequado fornecimento de energia elétrica (item EE) que, conformejá explicitado na descrição do serviço de rede e dentre os riscos aos quais os serviços derede estão expostos, é de responsabilidade da prefeitura da UnB.
32
Figura 4.5: Relação de dependências entre as atividades de pesquisa científica e os serviçosde TI do CPD.
4.3 Análise de Impacto a partir dos questionários en-viados
De acordo com a seção 14 da norma ISO/IEC 27002, e já dito anteriormente notrabalho, é recomendado que a análise de impacto seja realizada com envolvimento dosresponsáveis pelos processos e recursos do negócio, bem como devem ser consideradosaspectos como a interrupção ao longo do tempo.
Dito isso e conforme explicitado em metodologia, a partir dos questionários enviadosaos colaboradores do CIC e DGP, DPAM e DAP, foram realizadas análises das respos-tas obtidas com intuito de se obter gráficos que demonstrassem o impacto de possíveisinterrupções dos serviços de TI oferecidos pelo CPD para as atividades de negócio dasáreas escolhidas como escopo desse trabalho. Abaixo, encontra-se tabela demonstrandoas atividades de negócios e os serviços de TI aos quais estas estão relacionadas.
Tabela 4.3: Atividades de negócio x Serviços de TIÁrea Principais atividades Serviços de TI
CIC Pesquisa Científica E-mail Institucional;Internet (sem fio e cabeada).
DGP Atualização/Manutenção de Folha de Pagamento;Ingresso/Remoção de Colaboradores.
SIPES;SEI.
É importante salientar que, para resposta dos questionários, foram dadas opções derespota entre 0 e 4, onde: 0 significa sem impacto, 1 representa um impacto baixo, 2
33
representa um impacto médio, 3 demonstra um impacto alto e 4 representa um impactomuito alto para as atividades de negócio.
4.3.1 Análise de Impacto - CIC
De acordo com o que já foi dito e entendido junto aos professores responsáveis peloDepartamento de Ciência da Computação da UnB, a atividade de pesquisa científica,considerada crítica por estes, é fortemente impactada em caso de interrupções nos serviçosde e-mail institucional e internet, sem fio e cabeada, oferecidos pelo CPD.
Diante disso, a partir dos questionários enviados para resposta dos professores, obteu-se os seguintes gráficos que demonstram o impacto em caso de interrupção ao longo dotempo: impacto em até 1 hora ininterrupta, impacto em até 2 horas ininterruptas eimpacto durante 2 a 4 horas ininterruptas. Além disso, foi questionado sobre o impactodessas interrupções também aos finais de semana pelos mesmos intervalos de tempo.Adicionalmente, para os casos de interrupção durante os dias de semana, as questõeselaboradas foram direcionadas para os horários de pico de uso da rede: de 8 às 12 horase de 14 às 16 horas.
É importante salientar que foram enviados questionários para os 44 professores doDepartamento de Ciência da Computação. Contudo, foram obtidas apenas 24 respostas.O percentual de respostas está representado na Figura 4.6.
Figura 4.6: Percentual de respostas ao questionário enviado para os professores do CIC.
Tendo em vista que foi analisado o impacto para dois serviços de TI para a atividadede pesquisa científica, E-mail Institucional e Internet, foram elaborados dois gráficos, umpara cada serviço de TI.
Primeiramente, segue o gráfico que demonstra o impacto em caso de interrupção doserviço de e-mail institucional para a atividade de pesquisa científica.
Neste primeiro caso, torna-se evidente que o impacto em caso de interrupção do ser-viço de e-mail institucional para um dia de semana por um período de até 1 hora já éconsiderado médio para os professores; tendo em vista que em uma escala de 0 a 4, 2é considerado um impacto médio conforme informado no início da seção. Caso a inter-rupção seja de até 2 horas de forma ininterrupta, os resultados apontam que o impacto
34
Figura 4.7: Gráfico - Análise de Impacto em Caso de Interrupção do Serviço de E-mail.Fonte: Figura elaborada pelo autor do trabalho.
ainda é médio. Contudo, é evidente que o nível de tal impacto maior do que até 1 hora deinterrupção. Já entre 2 e 4 horas ininterruptas de interrupção, o impacto é consideradoalto para os professores, apontando 3,05 na escala.
Aos finais de semana, por sua vez, o impacto tende a ser mais baixo, tendo em vistaque não há tanto necessidade como em um dia de semana de se utilizar o serviço de e-mail.Contudo, vale salientar que entre 2 e 4 horas de interrupção do serviço de e-mail, mesmoque em um fim de semana, o impacto já está bem próximo de ser considerado alto pelosprofessores.
Estes resultados podem ser explicados a partir do entendimento realizado com osprofessores responsáveis pelo departamento. Foi informado que o impacto de possíveisinterrupções no serviço de e-mail institucional é alto para as atividades de pesquisa cien-tífica.
Principalmente durante os dias de semana, a demanda de utilização do e-mail ins-titucional pelos professores é alta. Verificamos que durante esses dias, atividades comoa elaboração de artigos, submissão de artigos para publicação, entre outras atividadesrelacionadas à pesquisa acadêmica, são intensamente realizadas. Todas essas atividaes,por sua vez, dependem do serviço de e-mail institucional.
Adicionalmente, foi informado, também pelos professores responsáveis pelo CIC, que,aos fins de semana, constantemente o e-mail institucional é necessário.
Para corroborar a análise, foi calculada uma margem de erro, a partir do intervalode confiança, demonstrado pelo tracejado preto no gráfico. Para os finais de semana asmargens de erro encontradas foram de 0,019, 0,025 e 0,027 para até 1 hora, até 2 horas ede 2 à 4 horas, respectivamente. Para os dias de semana, as margens de erro encontradasforam de 0,022, 0,025 e 0,025 para até 1 hora, até 2 horas e de 2 à 4 horas, respectivamente.
Dando prosseguimento as análises, segue gráfico que demonstra o impacto em casode interrupção do serviço de internet, sem fio e cabeada, para a atividade de pesquisacientífica.
Como pode ser observado no gráfico, em se tratando de um dia de semana, o impactode até 1 hora de interrupção dos serviços de internet (sem fio e cabeada) também jáé considerado médio, com a taxa estando ainda um pouco acima do que o evidenciadopara o serviço de e-mail. Até 2 horas o impacto está mais próximo de ser considerado
35
Figura 4.8: Gráfico - Análise de Impacto em Caso de Interrupção do Serviço de Internet.Fonte: Figura elaborada pelo autor do trabalho.
alto, tendo em vista que os resultados apontaram a taxa de 2,65 na escala de impactodeterminada. Já de 2 a 4 horas de interupção está evidenciado que o impacto é alto paraa atividade de pesquisa científica.
Ademais, seguindo o que foi observado para as interrupções do serviço de e-mail ins-titucional, aos finais de semana, caso hajam interrupções no serviço de internet (sem fioe cabeada), o impacto tende a ser mais baixo do que nos dias de semana. Isso ocorretambém pelo que já foi dito anteriormente: a utilização da internet é inevitavelmentemenor em comparação do que se é utilizado durante os dias de semana.
Estes resultados também podem ser validados a partir do que foi informado pelosresponsáveis pelo CIC. A partir do entendimento realizado, foi informado que o impactoé alto para as atividades de pesquisa científica em caso de interrupções do serviço deinternet (sem fio e cabeada).
Durante os dias de semana, os professores tendem a utilizar bem mais o serviço deinternet. Isso ocorre pelo fato da necessidade de serem realizadas consultas de periódicos,consultas de informações de congressos, submissão de artigos para publicação, análise dedados e, até mesmo, para utilizar o e-mail institucional.
Aos finais de semana, a demanda para utilização da internet se torna menor, apesardo serviço ainda ser constantemente utilizado.
Para corroborar a análise, foi calculada uma margem de erro, a partir do intervalode confiança, demonstrado pelo tracejado preto no gráfico. Para os finais de semana asmargens de erro encontradas foram de 0,018, 0,017 e 0,02 para até 1 hora, até 2 horas ede 2 à 4 horas, respectivamente. Para os dias de semana, as margens de erro encontradasforam de 0,021, 0,023 e 0,02 para até 1 hora, até 2 horas e de 2 à 4 horas, respectivamente.
Conclui-se pelos resultados apresentados na análise de impacto que os serviços de e-mail institucional e internet (sem fio e cabeada) oferecidos pelo CPD são fundamentaispara realização das atividades relacionadas à pesquisa científica. Dessa forma, torna-seevidente a necessidade de que recursos sejam direcionados para o suporte desses serviçosde tecnologia da informação oferecidos pelo CPD.
36
4.3.2 Análise de Impacto - DGP
Conforme verificado anteriomente junto à decana do DGP, e os diretores responsáveispela Diretoria de Administração de Pessoas (DAP) e Diretoria de Provimento, Acompa-nhamento e Movimentação (DPAM), as principais atividades desenvolvidas pelo decanatosão a elaboração e manutenção da folha de pagamento e atividades relacionadas ao ingressoe remoção de colaboradores da Universidade. Para que essas duas atividades funcionemadequadamente, são necessários os sistemas SIPES e SEI, respectivamente.
Diante disso, a partir dos questionários enviados para resposta dos colaboradores daDPAM, obteu-se o seguinte gráfico que demonstra o impacto em caso de interrupção dosistema SEI ao longo do tempo: impacto em até 1 hora ininterrupta, impacto em até 2horas ininterruptas e impacto durante 2 a 4 horas ininterruptas. Além disso, foi questi-onado sobre o impacto dessas interrupções também aos finais de semana pelos mesmosintervalos de tempo.
Para os colaboradores da DPAM, foram enviados 22 questionários, número de cola-boradores que atuam com o SEI para realizar as atividades voltadas para o ingresso eremoção de colaboradores. Contudo, foram obtidas 17 respostas. O percentual de respos-tas obtidas está representado na Figura 4.9.
Figura 4.9: Percentual de respostas obtidas em relação aos questionários enviados aoscolaboradores da DPAM
Já para os colaboradores da DAP foram enviados questionários com intuito de seobter um gráfico que demonstra o impacto em caso de interrupção do sistema SIPES aolongo do tempo. Contudo, tendo em vista que o questionamento foi direcionado parao último dia do fechamento da folha de pagamento, atividade extremamente crítica naelaboração da folha, consideramos a interrupção ao longo do tempo da seguinte forma:até 30 minutos ininterruptos, até 1 hora ininterrupta e por mais de 2 horas ininterruptas.Adicionalmente, também foi foi questionado sobre o impacto dessas interrupções aos finaisde semana pelos mesmos intervalos de tempo considerados.
Para os colaboradores da DAP, foram enviados 20 questionários, número de colabora-dores que atuam com o SIPES para realizar as atividades voltadas para o atualização emanutenção da folha de pagamento. Contudo, foram obtidas 18 respostas. O percentualde respostas obtidas está explicitado na Figura 4.10.
37
Figura 4.10: Percentual de respostas obtidas em relação aos questionários enviados aoscolaboradores da DAP
Dito isso, primeiramente, segue o gráfico, Figura 4.11, que demonstra o impacto emcaso de interrupção do aplicativo SEI para as atividades ingresso e remoção de colabora-dores.
Figura 4.11: Gráfico - Análise de Impacto em Caso de Interrupção do Sistema SEI. Fonte:Figura elaborada pelo autor do trabalho.
Analisando o gráfico elaborado, é possível identificar o quão impactante uma inter-rupção do sistema SEI pode ser para as atividades relacionadas ao ingresso e remoçãode colaboradores. Torna-se claro que até 1 hora o impacto já é considerado médio, comíndice de 2,05. Caso a interrupção seja por até 2 horas o impacto já está próximo de serconsiderado alto, com índice de 2,82. Já o impacto entre 2 a 4 horas é considerado muitoalto, índice de 3,64, quase atigindo o limite de impacto estabelecido pela pesquisa.
Por outro lado, aos finais de semana o impacto já é considerado baixo, como o índicemáximo encontrado de 1,05 entre 2 a 4 horas ininterruptas.
Estes resultados podem ser validados a partir do entendimento realizado junto aodiretor da Diretoria de Provimento, Acompanhamento e Movimentação (DPAM). Foi
38
informado que o impacto em caso de interrupções do sistema SEI é muito alto para asatividades voltadas para o ingresso e remoção de colaboradores.
Conforme já exposto nesse estudo de caso, a tramitação de todos os documentos uti-lizados na Universidade ocorreram por meio do SEI (Sistema Eletrônico de Informações).Ademais, foi informado que as atividades relacionadas ao ingresso e remoção de colabora-dores da universidade dependem fundamentalmente desse sistema e estas são executadasmais intensamente durante os dias de semana.
Já aos finais de semana, pelo fato da necessidade de se utilizar o sistema ser mínima,o impacto em caso de interrupção desse serviço tende a ser baixo.
Para corroborar a análise, foi calculada uma margem de erro, a partir do intervalode confiança, demonstrado pelo tracejado preto no gráfico. Para os finais de semana asmargens de erro encontradas foram de 0,03, 0,028 e 0,028 para até 1 hora, até 2 horas ede 2 à 4 horas, respectivamente. Para os dias de semana, as margens de erro encontradasforam de 0,02, 0,021 e 0,02 para até 1 hora, até 2 horas e de 2 à 4 horas, respectivamente.
Em continuidade, segue gráfico que demonstra o impacto em caso de interrupção dosistema SIPES para a atividade de elaboração e atualização da folha de pagamento doscolaboradores da universidade.
Figura 4.12: Gráfico - Análise de Impacto em Caso de Interrupção do Sistema SIPES.Fonte: Figura elaborada pelo autor do trabalho.
Conforme identificado no gráfico, É possível indentificar que, caso hajam interrupçõesno aplicativo SIPES durante o fechamento da folha de pagamento por até 30 minutos, oimpacto é considerado médio, com índice 2, mesmo se tratando de um curto período detempo. Caso a interrupção seja por até 1 hora, o impacto já considerado próximo de alto,tendo em vista que o índice identificado é de 2,88. Já por mais de 2 horas, o impactosobre as atividades de elaboração e manutenção da folha de pagamento, índice de 3,66,se aproxima do nível mais alto de impacto direcionado pela pesquisa.
Em contrapartida, pode-se observar que o impacto aos finais de semana em caso deinterrupção do aplicativo SIPES é muito baixo. O índice mais alto identificado foi o de0,5, considerado um impacto muito baixo.
Estes resultados também podem ser validados por meio do entendimento realizadojunto à diretora da Diretoria de Administração de Pessoas (DAP), vinculada ao DGP.
39
Foi informado que o impacto em caso de interrupção do SIPES no último dia do fecha-mento contábil é extramamente alto. Isso pode ser justificado pelo fato do último dia defechamento da contabilidade ser direcionado para consolidação de todas as informaçõescontábeis do período e finalização da elaboração da folha de pagamento. Dessa forma,uma interrupção, mesmo que por um período curto de tempo, pode impactar de formamuito negativa para as operações da diretoria.
Contudo, aos finais de semana, por não haver demanda de utilização do SIPES, salvoem casos excepcionais, falhas no sistema representam um impacto muito baixo para asatividades de atualização e manutenção da folha de pagamento.
Para corroborar a análise, foi calculada uma margem de erro, a partir do intervalode confiança, demonstrado pelo tracejado preto no gráfico. Para os finais de semana asmargens de erro encontradas foram de 0,01, 0,011 e 0,013 para até 1 hora, até 2 horas ede 2 à 4 horas, respectivamente. Para os dias de semana, as margens de erro encontradasforam de 0,021, 0,02 e 0,02 para até 1 hora, até 2 horas e de 2 à 4 horas, respectivamente.
Conclui-se pelos resultados apresentados na análise de impacto que os aplicativos SEIe SIPES oferecidos e suportados pelo CPD são fundamentais para realização das ativida-des relacionadas ao ingresso e remoção de colaboradores e atualização e manutenção dafolha de pagamento. Dessa forma, torna-se evidente a necessidade de que recursos sejamdirecionados para o suporte desses serviços de tecnologia da informação oferecidos peloCPD.
40
Capítulo 5
Conclusões
A informação é um dos ativos mais importantes do mundo moderno. O avanço dastecnologias e comunicações transformou o ciclo de vida da informação e a forma de protegê-la. A proteção desses ativos da informação, não pode ser vista como uma iniciativa isoladade TI, ou como um conjunto de ações pontuais executadas em momentos de crise. Ela deveser parte de um sistema de gestão apoiado em pessoas, processos, tecnologias, patrocinadopela alta administração e que atenda às demandas de segurança da organização.
Independentemente do segmento de atuação ou porte, todas as organizações estão su-jeitas a riscos. A materialização desses riscos pode ocasionar paradas em sistemas, falhasde operações e até indisponibilidade das informações que estes processam. Consquen-temente, as atividades depedentes destes ativos de tecnologia da informação podem serinterrompidas, podendo resultar em danos e prejuízos incalculáveis para organização.
Dessa forma, garantir a continuidade e a operação da organização, independentementede qualquer evento ou incidente, sejam eles internos ou externos, é fundamental.
Contudo, para que seja assegurada a continuidade das operações da organização, torna-se essencial a realização de uma análise de impacto dos negócios em relação aos serviçosde TI utilizados.
Apesar da Universidade de Brasília estar munida de um amplo ambiente de tecnologiada informação e possuir um Centro de Informática (CPD) de excelência responsável pordar suporte aos ativos de TI, os resultados desse trabalho apontam que a incidência defalhas e interrupções nos serviços de TI oferecidos é constante. Falhas que, muitas vezes,estão relacionadas com fatores externos à alçada do Centro.
Ademais, os resultados desse estudo de caso apontam que o impacto de possíveis inter-rupções nos serviços de Tecnologia de informação oferecidos pelo CPD é negativamenetealto para as atividades de negócio avaliadas.
O principal objetivo desse trabalho foi realizar uma análise de impacto de possíveisinterrupções nos serviços de TI para as atividades de negócio do Departamento de Ciênciada Computação (CIC) e Decanato de Gestão de Pessoas (DGP). O objetivo foi alcançadopor meio das diretrizes de análise sugeridas pela ABNT NBR ISSO/IEC 27002 e NormaComplementar 06/IN01/DSIC/GSIPR.
Por fim, ao final do trabalho, tornou-se evidente a necessidade de que mais recursoshumanos e financeiros sejam direcionados para as atividades do CPD, tendo em vista queas atividades de negócio estão diretamente relacionadas e dependentes dos serviços detecnologia da informação oferecidos pelo Centro de Informática.
41
5.1 Trabalhos FuturosComo trabalho futuro, existe a necessidade de que seja realizado um estudo de caso que
dê prosseguimento a implementação de um programa completo de Gestão de Continuidadede Negócios. Tal necessidade existe tendo em vista que a análise de impacto é apenas umpasso realizado para uma adequada Gestão de Contuidade de Negócios.
Ainda seguindo a vertente da Gestão de Continuidade de Negócios, existe a necessi-dade da realização de um estudo de caso para avaliar a implementação de um plano derecuperação de desastres para serviços de TI do CPD.
Por fim, outro trabalho pertinente a ser mencionado é a realização de um estudo decaso com intuito de implementar um programa de gestão de incidentes de segurança dainformação, conforme seção 13 da ABNT NBR ISO/IEC 27002.
42
Referências
[1] CIC website. http://www.cic.unb.br/. Acessado em: 2016-05-10. 22
[2] CPD serviços. http://www.cpd.unb.br/servicos. Acessado em: 2016-04-03. 16,18
[3] Eduroam rede nacional de ensino e pesquisa. https://portal.rnp.br/web/servicos/eduroam. Acessado em: 2016-04-13. 20
[4] EPOCH CONVERTER numeração das semanas de 2016. http://www.epochconverter.com/weeks/2016. Acessado em: 2016-06-19. 26
[5] GARTNER, INC. http://www.gartner.com/technology/about.jsp. Acessadoem: 2016-06-25. 16, 50
[6] GARTNER, INC. sample bia report. http://www.hci-itil.com/ITIL_v3/docs/Sample_BIA_Report.pdf. Acessado em: 2016-06-25. 16, 50
[7] Lista de Softwares Homologados do CPD. http://www.cpd.unb.br/images/Lista_Softwares_homologados_maio2015/Lista_de_Softwares_Homologados.pdf.Acessado em: 2016-04-03. 18
[8] PwC - Gestão de Continuidade de Negócios. http://www.pwc.com.br/en/gestao-de-riscos-corporativos-e-compliance/assets/folder-gestao-continuada-13.pdf. Acessado em: 2016-05-18. 9
[9] SEGURANÇA DA INFORMAÇÃO, representação da divisão da segurança em cama-das. http://www.teleco.com.br/tutoriais/tutorialitil/pagina_2.asp. Ac-cessed: 2016-06-19. vii, 7
[10] STANDARTS ISO 27001 and 27002. http://17799.standardsdirect.org/. Aces-sado em: 2016-04-10. 8
[11] NBR ISO ABNT. IEC 27002: 2005. Código de Prática para a Gestão da Segurançada Informação. Associação Brasileira de Normas Técnicas, 2005. 2, 3, 5, 6, 9, 10
[12] Tomi Adachi. Gestão de segurança em internet banking–. São Paulo: FGV, 2004. 7,8
[13] BRASIL. Decreto no 3.505, de 13 de junho de 2000. 5
[14] BRASIL. Norma complementar 06/in01/dsic/gsipr, de 11 de novembro de 2009. 2,3, 10
43
[15] Carlos Alberto Antônio Caruso and Flávio Deny Steffen. Segurança em Informáticae de Informações. Senac, 1999. 7
[16] Marco Aurelio Chaves Cepik, Diego Rafael Canabarro, and Ana Júlia Possamai. AInstitucionalização do SISP e a Era Digital no Brasil. Governança de TI: transfor-mando a administração pública no Brasil. Porto Alegre: WS, 2010. p.[37]-74, 2010.6
[17] Wohlin Claes, Per Runeson, Martin Host, Magnus Ohlsson, Bjorn Regnell, and An-ders Wesslén. Experimentation in software engineering: an introduction., 2000. 13,14
[18] Pilar da Silva, Denise Ranghetti, and Lilian Milnitsky Stein. Segurança da infor-mação: uma reflexão sobre o componente humano. Ciências & Cognição, 10:46–53,2007. 4
[19] Wagner Junqueira de Araujo. Leis, decretos e normas sobre gestão da segurança dainformação nos órgãos da administração pública federal. Informação & Sociedade:Estudos, 22, 2012. 10
[20] Aguinaldo Aragon Fernandes and Vladimir Ferraz De Abreu. Implantando a Gover-nança de TI-: Da estratégia à Gestão de Processos e Serviços. Brasport, 2014. 6,8
[21] Antonio Carlos Gil. Métodos e técnicas de pesquisa social. In Métodos e técnicas depesquisa social. Atlas, 2010. 13
[22] Guilherme Lerch, Pietro Cunha Dolci, João Luiz Becker, and Antônio Carlos Gas-taud. Governança de TI no Brasil: uma análise dos mecanismos mais difundidosentre as empresas nacionais. 2007. 6
[23] Guilherme Lerch Lunardi, João Luiz Becker, and Antonio Carlos Gastaud Maçada.Governança de TI e suas implicações para a gestão da TI: Um estudo acerca dapercepção dos executivos. XXXIV Encontro da ANPAD–EnANPAD. Rio de Janeiro,2010. 6
[24] Marcos Mandarini. Segurança corporativa estratégica. Editora Manole Ltda, 2005. 4
[25] João Luiz Marciano and Mamede Lima-Marques. O enfoque social da segurança dainformação. Ci. Inf., Brasília, 35(3):89–98, 2006. 6
[26] Emerson Augusto Priamo Moraes and Sandra Regina Holanda Mariano. Uma Re-visão dos Modelos de Gestão em TI. In IV Congresso Nacional de Excelência emGestão (CNEG), 2008. 6
[27] Giovane César Moreira Moura and Luciano Paschoal Gaspary. Uma proposta paramedição de complexidade de segurança em procedimentos de tecnologia da informa-ção. VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computa-cionais (SBSEG), pages 129–142, 2008. 6
[28] Barrie North. Joomla! guia do operador. Rio de Janeiro: Altabooks, 2008. 21
44
[29] Bruce Schneier and Daniel Vieira. Segurança. com: Segredos e mentiras sobre aproteção na vida digital. Campus, 2001. 6, 8
[30] Marcos Sêmola. Gestão da segurança da informação, volume 1. Elsevier Brasil, 2003.4, 6
[31] Patrick Woodman, Vidal Kumar, et al. A decade of living dangerously: the businesscontinuity management report 2009. 2009. 9
45
Apêndice A
Lista de Softwares Homologados peloCPD
Abaixo, segue a listagem disponibilizada no site do CPD da UnB com os softwareshomologados. Tal listagem tem o objetivo de informar os softwares que são suportadospela equipe de Tecnologia da Informação e Comunicações (TIC) do departamento citado.
• SIBOL
– Objetivo: Gestão do PIC - Programa de Iniciação Científica.– Departamento responsável: DPP
• SGI
– Objetivo: Gestão da locação dos imóveis e administração dos condomínios daUnB.
– Departamento responsável: SGP
• SICONV
– Objetivo: Gestão de convênios, contratos e acordos da UnB e respectiva con-sulta no Portalda Transparência da UnB.
– Departamento responsável: DAF/DPA
• SIEFI
– objetivo: Sistema de Execução Financeira que registra e gerencia os créditos edébitos da UnB movimentados na conta única da União.
– Departamento responsável: DAF/DCF
• SIMAR
– Objetivo: Gestão dos almoxarifados Central, controle do almoxarifado do CMEe auxiliar na Diretoria de Gestão de Materiais.
– Departamento responsável: DAF/DCO/DRM
• SIMCON
46
– Objetivo: Gestão da dotação orçamentária dos Centros de Custo para permitirrequisiçãode materiais de consumo junto ao Almoxarifado Central da UnB.
– Departamento responsável: DAF/DCF
• SceCME
– Objetivo: Gestão de material de controle do almoxarifado da CME/PRC.– Departamento responsável: PRC
• SIOF
– Objetivo: Elaboração da lista de pretendentes a ocupação de imóveis residen-ciais da UnB.
– Departamento responsável: DGP/SGP
• SIPAT
– Objetivo: Gestão do patrimônio mobiliário da UnB e das manutenções deequipamentos do CME/PRC.
– Departamento responsável: DAF/DRM
• SITAB
– Objetivo: Manutenção das tabelas coorporativas da UnB.– Departamento responsável: Manutenção das tabelas coorporativas da UnB.
• SITRAN
– Objetivo: Controlar a alocação de veículos utilizados nas atividades acadêmi-cas.
– Departamento responsável: PRC
• SMI
– Objetivo: Armazenamento e recuperação de informações micro filmadas.– Departamento responsável: Arquivo Central
• SAE
– Objetivo: Gestão da assistência estudantil– Departamento responsável: DAC
• SCA
– Objetivo: Autenticação de usuários e auditoria de utilização dos sistemas cor-porativos.
– Departamento responsável: CPD
• SIPES
47
– Objetivo: Gestão de pessoas, contendo todos os históricos do servidor na UnB.– Departamento responsável: DGP
• SRHPS
– Objetivo: Gestão dos prestadores de serviços da UnB.– Departamento responsável: DGP
• SIGRA
– Objetivo: Gestão dos cursos de graduação.– Departamento responsável: SAA/DEG
• SIDIP
– Objetivo: Registro de diplomas.– Departamento responsável: SAA/DEG
• SIEX
– Objetivo: Gestão dos cursos de extensão.– Departamento responsável: SAA/DPP
• SIPPOS
– Objetivo: Gestão dos cursos de pós-graduação.– Departamento responsável: SAA/DPP
48
Apêndice B
Questionários
B.1 Pré-questionário para entendimento incial para de-limitar as atividades críticas do CIC e do DGP
Para realização da entrevista junto aos gestores do CIC e CPD, foi elaborado umquestionário direcionador, previamente elaborado, baseado nas normas ISO/IEC 27002 eNC 06/IN01/DSIC/GSIPR, orientadoras deste trabalho. Dessa forma, tornou-se possívelo completo entendimento das principais atividades de negócio de cada área.
Abaixo, segue o questionário elaborado para entrevistas com os professores responsá-veis pelo CIC:
1. Quais são as principais atividades administrativas e acadêmicas realizadas peloscolaboradores/professores do CIC?
2. Quais serviços de TI oferecidos pelo CPD são necessários para realização destasatividades?
3. Qual o nível do impacto para as atividades acadêmicas caso haja uma falha nestesserviços oferecidos pelo CPD?
4. Qual a periodicidade de ocorrência destas falhas?
Adicionalmente, segue o questionário elaborado para entrevistas com gestores do DGP:
1. Quais são as principais atividades administrativas e acadêmicas realizadas peloscolaboradores/gestores do DGP?
2. Quais serviços de TI oferecidos pelo CPD são necessários para realização destasatividades?
3. Qual o nível do impacto para as atividades acadêmicas caso haja uma falha nestesserviços oferecidos pelo CPD?
4. Qual a periodicidade de ocorrência destas falhas?
49
B.2 Questionários para avaliação do impacto em casode interrupções nos serviços de TI oferecidos peloCPD para as atividades críticas do CIC e DGP
Após realizadas reuniões iniciais de entendimento junto aos professores gestores doDepartamento de Ciência da Computação da UnB (CIC), com a decana do Decanatode Gestão de Pessoas (DGP) e respectivos diretores da Diretoria de Administração dePessoas (DAP) e Diretoria de Provimento, Acompanhamento e Movimentação (DPAM),e determinadas as atividades críticas dos departamentos escopo deste trabalho, CIC eDGP; foram elaborados questionários, também baseados nas normas ISO/IEC 27002 eNC 06/IN01/DSIC/GSIPR, dessa vez, com objetivo de analisar o impacto de forma tem-poral em caso de possíveis interrupções dos serviços de TI oferecidos pelo CPD para asatividades críticas do CIC e DGP e que foram enviados para todos os colaboradores decada áreas, todos os professores do CIC e colaboradores da DAP e DPAM, bem comopara a decana do DGP.
Ademais, nas reuniões iniciais de entendimento, foram identificados quais os serviçosde TI oferecidos pelo CPD estão relacionados com as atividades críticas de ambas as áreasestudadas. Dessa forma, tais serviços foram utilizados na utilização do questionário.
Por fim, e para melhor entendimento dos questionários explicitados nas subseçõesseguinte, seguem às possibilidades de resposta para os questionários. Por se tratar deuma análise de impacto, as respostas foram limitadas às seguintes opções:
• 0: Sem impacto para as atividades.
• 1: Impacto relativamente baixo para as atividades.
• 2: Impacto mediano para as atividades.
• 3: Impacto relativamente alto para as atividades.
• 4: Impacto muito alto, crítico para as atividades.
Essa escala foi embasada a partir do exemplo de análise de impacto sugerido pela em-presa Gartner, Inc., especializada em pesquisas e consultoria em tecnologia da informação[5] [6].
B.2.1 Questionário - Análise de impacto em caso de interrupçãodos serviços de TI para as atividades críticas do CIC
A seguir, encontra-se detalhado o questionário enviado para os professores do CIC comobjetivo de analisar o impacto em caso de possíveis interrupções dos serviços de E-mailinstitucional e Internet (sem fio e cabeada) para as atividades de pesquisa acadêmica du-rante os dias de semana, considerando os horários de pico evienciados: 8h às 12h e de 14às 16h, e aos fins de semana.
Perguntas relacionadas à estimativa de impacto em caso de interrupção no serviço dee-mail institucional oferecido pelo CPD para as atividades de pesquisa científica.
50
1. Qual a estimativa do impacto em caso de interrupção do serviço de e-mail institu-cional por até 1 hora (ininterrupta) para as atividades de pesquisa científica em umdia de semana?
2. Qual a estimativa do impacto em caso de interrupção do serviço de e-mail institu-cional por até 2 horas (ininterruptas) para as atividades de pesquisa científica emum dia de semana?
3. Qual a estimativa do impacto em caso de interrupção do serviço de e-mail institu-cional por um período de 2 a 4 horas (ininterruptas) para as atividades de pesquisacientífica em um dia de semana?
4. Qual a estimativa do impacto em caso de interrupção do serviço de e-mail institu-cional por até 1 hora (ininterrupta) para as atividades de pesquisa científica em umfim de semana?
5. Qual a estimativa do impacto em caso de interrupção do serviço de e-mail institu-cional por até 2 horas (ininterruptas) para as atividades de pesquisa científica emum fim de semana?
6. Qual a estimativa do impacto em caso de interrupção do serviço de e-mail institu-cional por um período de 2 a 4 horas (ininterruptas) para as atividades de pesquisacientífica em um fim de semana?
Perguntas relacionadas à estimativa de impacto em caso de interrupção no serviçode Internet (sem fio e cabeada) oferecido pelo CPD para as atividade de pesquisacientífica.
1. Qual a estimativa do impacto em caso de interrupção do serviço de internet (semfio e cabeada) por até 1 hora (ininterrupta) para as atividades de pesquisa científicaem um dia de semana?
2. Qual a estimativa do impacto em caso de interrupção do serviço de internet (sem fioe cabeada) por até 2 horas (ininterruptas) para as atividades de pesquisa científicaem um dia de semana?
3. Qual a estimativa do impacto em caso de interrupção do serviço de internet (semfio e cabeada) por um período de 2 a 4 horas (ininterruptas) para as atividades depesquisa científica em um dia de semana?
4. Qual a estimativa do impacto em caso de interrupção do serviço de internet (semfio e cabeada) por até 1 hora (ininterrupta) para as atividades de pesquisa científicaem um fim de semana?
5. Qual a estimativa do impacto em caso de interrupção do serviço de internet (sem fioe cabeada) por até 2 horas (ininterruptas) para as atividades de pesquisa científicaem um fim de semana?
6. Qual a estimativa do impacto em caso de interrupção do serviço de internet (semfio e cabeada) por um período de 2 a 4 horas (ininterruptas) para as atividades depesquisa científica em um fim de semana?
51
B.2.2 Questionário - Análise de impacto em caso de interrupçãodos serviços de TI para as atividades críticas do DGP
Em seguida, encontra-se detalhado abaixo o questionário enviado para os colaborado-res da DAP e DPAM, bem como para decana do DGP, com objetivo de analisar o impactoem caso de possíveis interrupções dos sistemas SEI e SIPES, sistemas corporativos geren-ciados e suportados pelo CPD, para as atividades administrativas desenvolvidas no DGPdurante os dias de semana e aos fins de semana.
Perguntas relacionadas à estimativa de impacto em caso de interrupção no sistemaSIPES oferecido e suportado pelo CPD para as atividades de elaboração, atualização emanutenção da folha de pagamento.
1. Qual a estimativa de impacto em caso de interrupção no SIPES por até 30 mi-nutos (ininterruptos), em decorrência de falhas na rede ou no próprio sistema, noúltimo dia de fechamento para as atividades relacionadas a atualização de folha depagamento, atualização de dados bancários e pessoais de colaboradores da UnB?
2. Qual a estimativa de impacto em caso de interrupção no SIPES por até 1 hora(ininterrupta), em decorrência de falhas na rede ou no próprio sistema, no último diade fechamento para as atividades relacionadas a atualização de folha de pagamento,atualização de dados bancários e pessoais de colaboradores da UnB?
3. Qual a estimativa de impacto em caso de interrupção no SIPES por mais de 1 hora(ininterrupta), em decorrência de falhas na rede ou no próprio sistema, no último diade fechamento para as atividades relacionadas a atualização de folha de pagamento,atualização de dados bancários e pessoais de colaboradores da UnB?
4. Qual a estimativa de impacto em caso de interrupção no SIPES por até 30 minutos(ininterruptos), em decorrência de falhas na rede ou no próprio sistema, no fimde semana para as atividades relacionadas a atualização de folha de pagamento,atualização de dados bancários e pessoais de colaboradores da UnB?
5. Qual a estimativa de impacto em caso de interrupção no SIPES por até 1 hora(ininterrupta), em decorrência de falhas na rede ou no próprio sistema, no fimde semana para as atividades relacionadas a atualização de folha de pagamento,atualização de dados bancários e pessoais de colaboradores da UnB?
6. Qual a estimativa de impacto em caso de interrupção no SIPES por mais de 1hora (ininterrupta), em decorrência de falhas na rede ou no próprio sistema, no fimde semana para as atividades relacionadas a atualização de folha de pagamento,atualização de dados bancários e pessoais de colaboradores da UnB?
Perguntas relacionadas à estimativa de impacto em caso de interrupção no sistema SEIoferecido e suportado pelo CPD para as atividades de análise e tramitação de documentosenvolvendo o ingresso ou remoção de colaboradores.
1. Qual a estimativa do impacto em caso de interrupção do serviço SEI (Sistema Ele-trônico de Informações) por até 1 hora (ininterrupta) para as atividades relacionadasao ingresso/remoção de colaboradores em um dia de semana?
52
2. Qual a estimativa do impacto em caso de interrupção do serviço SEI (Sistema Eletrô-nico de Informações) por até 2 horas (ininterruptas) para as atividades relacionadasao ingresso/remoção de colaboradores em um dia de semana?
3. Qual a estimativa do impacto em caso de interrupção do serviço SEI (Sistema Eletrô-nico de Informações) por um período de 2 a 4 horas (ininterruptas) para as atividadesrelacionadas ao ingresso/remoção de colaboradores em um dia de semana?
4. Qual a estimativa do impacto em caso de interrupção do serviço SEI (Sistema Ele-trônico de Informações) por até 1 hora (ininterrupta) para as atividades relacionadasao ingresso/remoção de colaboradores em um fim de semana?
5. Qual a estimativa do impacto em caso de interrupção do serviço SEI (Sistema Eletrô-nico de Informações) por até 2 horas (ininterruptas) para as atividades relacionadasao ingresso/remoção de colaboradores em um fim de semana?
6. Qual a estimativa do impacto em caso de interrupção do serviço SEI (Sistema Eletrô-nico de Informações) por um período de 2 a 4 horas (ininterruptas) para as atividadesrelacionadas ao ingresso/remoção de colaboradores em um fim de semana?
53